Das Software-Unternehmen Axosoft hat den Code-Hoster GitHub sowie Azure DevOps, Nachfolger der Visual Studio Team Services (VSTS) von Microsoft, offenbar am 28. September 2021 über Schwachstellen in einer Abhängigkeit des Git-GUI-Clients GitKraken informiert. Die Schwachstelle führt wohl dazu, dass der GitKraken-Client schwache SSH-Schlüssel (Secure Shell) generierte. Das Erstellen dieser Schlüssel erfolgt mit einer geringeren Entropie, sodass die Wahrscheinlichkeit einer Schlüsselduplikation höher ist. Betroffen sind die Version 7.6.x, 7.7.x und 8.0.0 des Clients. GitHub hat nach eigenen Angaben daraufhin alle Schlüssel widerrufen, die von diesen anfälligen Versionen des GitKraken-Clients generiert worden und auf GitHub.com im Einsatz waren – ebenso alle potenziell unsicheren Schlüssel, die von anderen Clients erstellt worden waren, die möglicherweise dieselbe anfällige Abhängigkeit verwendet hatten. Weitere Schutzmaßnahmen seien eingeleitet worden, um zu verhindern, dass anfällige Versionen von GitKraken in Zukunft neu generierte schwache Schlüssel von älteren, anfälligen Versionen des Clients hinzufügen. Der Code-Hoster hat laut Blog-Beitrag vorsorglich den Fall untersucht, dass schwach generierte Schlüssel, die auf GitHub.com verwendet werden, von anderen Drittanbieter-Clients und -Integratoren stammen, die ebenfalls diese anfällige Bibliothek verwenden. Es sei aufgrund der Art der Schwachstelle nicht möglich, alle möglichen schwachen SSH-Schlüssel zu identifizieren, die von dieser Bibliothek und den verwundbaren Clients, die sie verwenden, erzeugt wurden. Daher hat GitHub weitere potenziell schwache Schlüssel, die mit diesen Szenarien in Verbindung stehen, widerrufen und ihre Verwendung gesperrt. Betroffene Nutzer dieser Schlüssel sollen laut GitHub benachrichtigt worden sein. Azure DevOps hat gemäß Blogeintrag ähnliche Schritte eingeleitet und sämtliche unsicheren Schlüssel überprüft und widerrufen. Betroffene Personen sollten innerhalb von 24 Stunden benachrichtigt worden sein. Auch wenn Nutzer keine Benachrichtigung erhalten haben, empfiehlt Azure DevOps die öffentlichen SSH-Keys, die zu Azure DevOps hinzugefügt wurden, zu entfernen und einen neuen hinzuzufügen. Eine Anleitung bietet weitere Informationen zur empfohlenen Vorgehensweise. GitHub empfiehlt, die mit einem GitHub-Konto verknüpften SSH-Schlüssel zu prüfen und diejenigen zu überarbeiten, die mit der betroffenen Bibliothek generiert wurden beziehungsweise worden sein könnten. Eine umfassende Dokumentation bietet weitere Informationen zur Prüfung solcher Schlüssel. Administratoren von GitHub-Enterprise-Server-Bereitstellungen können die zu ihren Instanzen hinzugefügten SSH-Schlüssel überprüfen, indem sie die public_key.create
-Aktionen im Audit-Protokoll des Site-Admin-Dashboards überprüfen. Diese Ergebnisse lassen sich nach bestimmten Benutzer-Agenten filtern, um potenziell gefährdete Clients zu identifizieren. Auch GitKraken selbst bietet Informationen zur Prüfung von SSH-Schlüsseln auf der offiziellen Webseite.