La société de logiciels Axosoft a apparemment notifié l’hébergeur de code GitHub et Azure DevOps, successeur de Visual Studio Team Services (VSTS) de Microsoft, de vulnérabilités dans une dépendance du client Git GUI GitKraken le 28 septembre 2021. La vulnérabilité entraîne probablement la génération par le client GitKraken de clés SSH (Secure Shell) faibles. La création de ces clés se fait avec une entropie plus faible, la probabilité de duplication de la clé est donc plus élevée. Les versions 7.6.x, 7.7.x et 8.0.0 du client sont concernées.
Sommaire
GitHub révoque les clés SSH non sécurisées
GitHub a déclaré qu’il a ensuite révoqué toutes les clés générées par ces versions vulnérables du client GitKraken qui étaient utilisées sur GitHub.com – ainsi que toutes les clés potentiellement non sécurisées générées par d’autres clients qui ont pu utiliser la même dépendance vulnérable. Des mesures de protection supplémentaires avaient été mises en place pour empêcher les versions vulnérables de GitKraken d’ajouter à l’avenir des clés faibles nouvellement générées à partir de versions plus anciennes et vulnérables du client.
Selon le billet de blog, l’hébergeur de code a pris la précaution d’enquêter sur le cas où les clés faiblement générées utilisées sur GitHub.com proviennent d’autres clients et intégrateurs tiers qui utilisent également cette bibliothèque vulnérable. Il n’a pas été possible d’identifier toutes les clés SSH faibles possibles générées par cette bibliothèque et les clients vulnérables qui l’utilisent en raison de la nature de la vulnérabilité. En conséquence, GitHub a révoqué d’autres clés potentiellement faibles associées à ces scénarios et a bloqué leur utilisation. Les utilisateurs concernés de ces clés auraient été informés, selon GitHub.
Mesures recommandées
Azure DevOps a pris des mesures similaires, selon le billet de blog, et a examiné et révoqué toutes les clés non sécurisées. Les personnes touchées auraient dû être informées dans les 24 heures. Même si les utilisateurs n’ont pas reçu de notification, Azure DevOps recommande de supprimer les clés SSH publiques ajoutées à Azure DevOps et d’en ajouter une nouvelle. Un guide fournit de plus amples informations sur la procédure recommandée.
GitHub recommande de revoir les clés SSH associées à un compte GitHub et de réviser celles qui ont été ou peuvent avoir été générées avec la bibliothèque affectée. Une documentation complète fournit de plus amples informations sur la manière de vérifier ces clés.
Les administrateurs des déploiements de GitHub Enterprise Server peuvent vérifier les clés SSH ajoutées à leurs instances en utilisant la commande public_key.create-dans le journal d’audit du tableau de bord d’administration du site. Ces résultats peuvent être filtrés par des agents utilisateurs spécifiques afin d’identifier les clients potentiellement vulnérables.
GitKraken lui-même fournit également des informations sur l’audit des clés SSH sur le site officiel.