GitKraken 취약점, 취약한 SSH 키 생성으로 이어질 수 있어

 

 

GitKraken flaw lead to the generation of weak SSH keys

 

Git GUI 클라이언트인 GitKraken의 개발팀이 취약한 SSH 키 생성으로 이어질 수 있는 취약점을 수정했습니다. 개발자는 버전 8.0.1을 공개해 해당 취약점을 수정했습니다.

 

이 문제는 Git GUI 클라이언트가 SSH 키를 생성하는 데 사용하는 오픈소스 라이브러리에 존재하며 GitKraken 버전 7.6.x, 7.7.x, 8.0.0을 통해 생성된 모든 키가 잠재적 영향을 받습니다.

 

최신 버전의 Git GUI 클라이언트(버전 8.0.1)는 새로운 SSH 키 생성 라이브러리를 사용합니다.

 

개발팀은 권고를 통해 아래와 같이 밝혔습니다.

 

"이 문제는 버전 7.6.x, 7.7.x, 8.0.0을 사용하는 GitKraken 인터페이스를 통해 SSH 키를 생성한 GitKraken 사용자에게만 영향을 미칩니다. SSH 키를 생성하는 데 사용한 버전이 확실하지 않은 경우 아래 프로세스를 통해 키를 갱신하는 것이 좋습니다.”

 

해당 취약점에 영향을 받는 사용자는 아래 절차를 밟아야 합니다.

 

1. 로컬에 저장된 이전에 생성된 모든 SSH 키를 제거합니다.

2. 각 Git 서비스 제공업체에 대해 GitKraken 8.0.1 이상을 사용하여 새 SSH 키를 생성합니다.

 

개발팀은 이미 Git 호스팅 서비스 제공업체인 GitHub, Bitbucket, GitLab, Azure DevOps에 해당 이슈에 대해 알렸으며, 사용된 취약한 공개 키도 취소시켰습니다.

 

개발팀은 이 취약점으로 인해 계정이 해킹당했다는 사례를 아직까지 찾아보지 못했습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/123255/security/gitkraken-flaw-ssh-keys-generation.html

https://www.gitkraken.com/blog/weak-ssh-key-fix