Опасный кракен
GitHub, GitLab и прочие крупные git-платформы отозвали часть SSH-ключей для авторизации, сгенерированных клиентом GitKraken.
В чём же дело? Оказывается, в сторонней библиотеке, которую клиент использует, есть уязвимость, резко повышающая вероятность генерации дублирующихся ключей. Уязвимость получила код CVE-2021-41117; она затрагивает версии Гиткракена 7.6.x, 7.7.x и 8.0.0, которые вышли между 12 мая и 27 сентября 2021 года.
GitKraken уведомил платформы о проблеме, как только её заметил. Платформы, в свою очередь, отозвали ключи и разослали клиентам сообщение об уязвимости. К счастью, пока не видно никаких репозиториев, которые могли бы от этого пострадать.
Для тех, кто управляет репозиториями самостоятельно, GitKraken выпустил инструкции по генерации новых ключей: под GitHub, GitLab, Bitbucket и Azure DevOps.