GitHub ngenalkeun syarat anyar pikeun sambungan Git jauh

Sababaraha dinten ka pengker GitHub ngumumkeun sababaraha parobihan ka jasa anu aya hubunganana sareng ketang protokol indit, anu dianggo nalika git push sareng operasi tarik git via SSH atanapi skéma "git: //".

Disebutkeun yén pamundut ngalangkungan https: // moal kapangaruhan sareng sakali parobihanana diberlakukeun, sahenteuna versi 7.2 tina OpenSSH bakal diperyogikeun (dirilis dina 2016) atanapi vérsi 0.75 ti PuTTY (dileupaskeun dina Méi taun ieu) pikeun nyambung ka GitHub ngalangkungan SSH.

Salaku conto, dukungan pikeun klien SSH tina CentOS 6 sareng Ubuntu 14.04, anu parantos lirén, bakal rusak.

Halo ti Git Systems, tim GitHub anu mastikeun kode sumber anjeun sayogi sareng aman. Kami ngalakukeun sababaraha parobihan pikeun ningkatkeun kaamanan protokol nalika anjeun ngalebetkeun atanapi nimba data tina Git. Kami arepkeun sakedik jalma anu bakal aya perhatosan kana parobihan ieu, sabab kami nerapkeunana kalayan lancar, tapi kami tetep hoyong masihan bewara sateuacanna.

Dasarna disebatkeun éta parobihan ngagolak dugi ka lirénkeun bantosan pikeun telepon Git anu teu énkripsi ngalangkungan "git: //" sareng nyaluyukeun sarat pikeun konci SSH anu dianggo nalika ngaksés GitHub, ieu pikeun ningkatkeun kaamanan koneksi anu dilakukeun ku pangguna, kumargi GitHub nyebatkeun yén cara ngalaksanakeunana parantos lami sareng teu aman.

GitHub moal ngadukung deui sadaya konci DSA sareng algoritma SSH warisan, sapertos CBC cipher (aes256-cbc, aes192-cbc aes128-cbc) sareng HMAC-SHA-1. Salaku tambahan, sarat tambahan dikenalkeun pikeun konci RSA énggal (panandatanganan SHA-1 bakal dilarang) sareng dukungan pikeun tombol host ECDSA sareng Ed25519 dilaksanakeun.

Naon anu robih?
Kami ngarobah konci mana anu patuh SSH sareng ngaleungitkeun protokol Git anu teu énkripsi. Husus kami:

Nyoplokkeun dukungan kanggo sadaya konci DSA
Nambahkeun Syarat pikeun RSA Keys Anyar Ditambahkeun
Ngaleungitkeun sababaraha algoritma SSH warisan (HMAC-SHA-1 sareng CBC ciphers)
Tambahkeun tombol host ECDSA sareng Ed25519 pikeun SSH
Pareuman protokol Git anu teu énkripsi
Ngan ukur pangguna anu nyambungkeun via SSH atanapi git: // anu kapangaruhan. Upami jarak jauh Git anjeun dimimitian ku HTTPS: // moal aya tulisan ieu anu mangaruhan éta. Upami anjeun pangguna SSH, baca pikeun detil sareng jadwal na.

Kami nembé lirén ngadukung kecap konci dina HTTPS. Parobihan SSH ieu, bari sacara téhnisna teu aya hubunganana, mangrupikeun bagian tina drive anu sami pikeun ngajaga data nasabah GitHub sakumaha aman-gancangna.

Parobihan bakal dilakukeun laun sareng tombol host anyar ECDSA sareng Ed25519 bakal dihasilkeun tanggal 14 Séptémber. Pangrojong pikeun penandatanganan konci RSA nganggo Hash SHA-1 bakal diteruskeun dina 2 Nopémber (konci anu dihasilkeun sateuacanna bakal teras jalan).

Tanggal 16 Nopémber, dukungan pikeun konci host anu berbasis di DSA bakal dilirénkeun. Tanggal 11 Januari 2022, salaku ékspérimén, dukungan pikeun algoritma SSH anu langkung lami sareng kamampuan aksés tanpa énkripsi bakal ditunda samentawis. Tanggal 15 Maret, dukungan pikeun algoritma warisan bakal ditumpurkeun sacara permanen.

Salaku tambahan, disebatkeun yén kedah dicatet yén basis kode OpenSSH parantos dirobih sacara standar pikeun nganonaktipkeun penandatanganan konci RSA nganggo Hash SHA-1 ("ssh-rsa").

Dukungan pikeun SHA-256 sareng SHA-512 (rsa-sha2-256 / 512) tandatangan hash tetep henteu robih. Ahir dukungan pikeun tanda tangan "ssh-rsa" disababkeun kanaékan épéktip serangan tabrakan ku awalan anu dipasihkeun (biaya tebak tabrakan diperkirakeun sakitar $ 50).

Pikeun nguji panggunaan ssh-rsa dina sistem anjeun, anjeun tiasa nyobian nyambungkeun via ssh sareng pilihan "-oHostKeyAlgorithms = -ssh-rsa".

Akhirna sUpami anjeun resep terang langkung seueur perkawis éta ngeunaan parobihan anu dilakukeun ku GitHub, anjeun tiasa mariksa detil na Dina tautan ieu.


Eusi tulisan taat kana prinsip urang tina étika éditorial. Pikeun ngalaporkeun kasalahan klik di dieu.

Janten kahiji komen

Ninggalkeun koméntar anjeun

email alamat anjeun moal diterbitkeun. Widang diperlukeun téh ditandaan ku *

*

*

  1. Jawab data: Miguel Ángel Gatón
  2. Tujuan tina data: Kontrol SPAM, manajemén koméntar.
  3. Legitimasi: idin anjeun
  4. Komunikasi data: Data moal dikomunikasikan ka pihak katilu kacuali ku kawajiban hukum.
  5. Panyimpenan data: Basis data anu diayakeun ku Occentus Networks (EU)
  6. Hak: Iraha waé anjeun tiasa ngawatesan, cageur sareng mupus inpormasi anjeun.