قمنا بتحديث مفتاح مضيف RSA SSH الخاص بنا
في حوالي الساعة 05:00 بالتوقيت العالمي المنسق يوم 24 مارس ، بدافع الحذر الشديد ، قمنا باستبدال مفتاح مضيف RSA SSH المستخدم لتأمين عمليات Git لـ GitHub.com. لقد فعلنا ذلك لحماية مستخدمينا من أي احتمال لخصم ينتحل شخصية GitHub أو يتنصت على عمليات Git الخاصة بهم عبر SSH. لا يمنح هذا المفتاح حق الوصول إلى بنية GitHub الأساسية أو بيانات العميل. يؤثر هذا التغيير فقط على عمليات Git عبر SSH باستخدام RSA. لن تتأثر حركة مرور الويب إلى GitHub.com وعمليات HTTPS Git.
تم استبدال مفتاح RSA SSH فقط من GitHub.com. لا يلزم إجراء أي تعديل لمستخدمي ECDSA أو Ed25519. مفاتيحنا موثقة هنا. ماذا حدث وما هو الإجراء الذي اتخذناه؟
اكتشفنا هذا الأسبوع أنه تم الكشف عن المفتاح الخاص RSA SSH الخاص بـ GitHub.com لفترة وجيزة في مستودع GitHub العام. لقد عملنا على الفور لاحتواء التعرض وبدأنا التحقيق لفهم السبب الجذري والتأثير. لقد أكملنا الآن استبدال المفتاح وسيشاهد المستخدمون التغيير خلال الثلاثين دقيقة القادمة. ربما لاحظ بعض المستخدمين أن المفتاح الجديد كان موجودًا لفترة وجيزة من حوالي الساعة 02:30 بالتوقيت العالمي المنسق أثناء الاستعدادات لهذا التغيير.
الرجاء ملاحظة أن هذه المشكلة ليست نتيجة أنظمة GitHub المخترقة أو معلومات العميل. بدلاً من ذلك ، كان الكشف نتيجة لما نعتقد أنه نشر غير مقصود لمعلومات خاصة. ليس لدينا سبب للاعتقاد بأن المفتاح المكشوف قد تم إساءة استخدامه وقد اتخذنا هذا الإجراء من باب الحذر. ما تستطيع فعله
إذا كنت تستخدم مفاتيح ECDSA أو Ed25519 ، فلن تلاحظ أي تغييرات ولا يلزم اتخاذ أي إجراء.
إذا رأيت الرسالة التالية عند الاتصال بـ GitHub.com عبر SSH ، فتابع القراءة. @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@ @ تحذير: تم تغيير معرف المضيف البعيد! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@ من المحتمل أن يقوم شخص ما بعمل شيء خاطئ! ربما يتجسس عليك شخص ما الآن (هجوم رجل في الوسط)! من الممكن أيضًا أن يكون مفتاح المضيف قد تم تغييره للتو. بصمة مفتاح RSA التي أرسلها المضيف البعيد هي SHA256: uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s. من فضلك تواصل مع مسؤول نظامك. أضف مفتاح المضيف الصحيح في ~ / .ssh / known_hosts للتخلص من هذه الرسالة. تم تغيير مفتاح المضيف لـ github.com وطلبت التحقق الصارم. فشل التحقق من مفتاح المضيف.
إذا رأيت الرسالة أعلاه ، فستحتاج إلى حذف المفتاح القديم عن طريق تشغيل هذا الأمر: $ ssh-keygen -R github.com
أو حدّث ملف ~ / .ssh / known_hosts يدويًا لإزالة الإدخال القديم.
بعد ذلك ، يمكنك إضافة السطر التالي يدويًا لإضافة إدخال مفتاح RSA SSH العمومي الجديد إلى ملف ~ / .ssh / known_hosts:
github.com ssh-rsa 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أو قم تلقائيًا بتحديث مفتاح RSA SSH من GitHub.com في ~ / .ssh / known_hosts ، عن طريق تشغيل ما يلي في جهازك الطرفي: $ ssh-keygen -R github.com $ curl -L https://api.github.com/meta | jq -r '.ssh_keys | . [] '| sed -e 's / ^ / github.com/' >> ~ / .ssh / known_hosts
يمكنك التحقق من اتصال مضيفيك من خلال مفتاح RSA SSH الجديد الخاص بنا عن طريق التأكيد على أنك ترى البصمة التالية: SHA256: uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s
قد يرى مستخدمو إجراءات GitHub إخفاقات في تنفيذ سير العمل إذا استخدموا الإجراءات / التحقق باستخدام خيار ssh-key. نقوم بتحديث الإجراءات / إجراء السحب في جميع العلامات المدعومة لدينا ، بما في ذلك @ v2 و @ v3 وmain. إذا قمت بتثبيت الإجراء في SHA الالتزام واستخدمت خيار ssh-key ، فستحتاج إلى تحديث سير العمل الخاص بك. يمكنك معرفة المزيد حول هذه العملية في وثائق تقوية الإجراءات الرسمية الخاصة بنا.
لمزيد من المعلومات ، يرجى الاطلاع على وثائقنا الرسمية حول بصمة المفتاح العام SSH الخاص بـ GitHub.
في حوالي الساعة 05:00 بالتوقيت العالمي المنسق يوم 24 مارس ، بدافع الحذر الشديد ، قمنا باستبدال مفتاح مضيف RSA SSH المستخدم لتأمين عمليات Git لـ GitHub.com. لقد فعلنا ذلك لحماية مستخدمينا من أي احتمال لخصم ينتحل شخصية GitHub أو يتنصت على عمليات Git الخاصة بهم عبر SSH. لا يمنح هذا المفتاح حق الوصول إلى بنية GitHub الأساسية أو بيانات العميل. يؤثر هذا التغيير فقط على عمليات Git عبر SSH باستخدام RSA. لن تتأثر حركة مرور الويب إلى GitHub.com وعمليات HTTPS Git.
تم استبدال مفتاح RSA SSH فقط من GitHub.com. لا يلزم إجراء أي تعديل لمستخدمي ECDSA أو Ed25519. مفاتيحنا موثقة هنا. ماذا حدث وما هو الإجراء الذي اتخذناه؟
اكتشفنا هذا الأسبوع أنه تم الكشف عن المفتاح الخاص RSA SSH الخاص بـ GitHub.com لفترة وجيزة في مستودع GitHub العام. لقد عملنا على الفور لاحتواء التعرض وبدأنا التحقيق لفهم السبب الجذري والتأثير. لقد أكملنا الآن استبدال المفتاح وسيشاهد المستخدمون التغيير خلال الثلاثين دقيقة القادمة. ربما لاحظ بعض المستخدمين أن المفتاح الجديد كان موجودًا لفترة وجيزة من حوالي الساعة 02:30 بالتوقيت العالمي المنسق أثناء الاستعدادات لهذا التغيير.
الرجاء ملاحظة أن هذه المشكلة ليست نتيجة أنظمة GitHub المخترقة أو معلومات العميل. بدلاً من ذلك ، كان الكشف نتيجة لما نعتقد أنه نشر غير مقصود لمعلومات خاصة. ليس لدينا سبب للاعتقاد بأن المفتاح المكشوف قد تم إساءة استخدامه وقد اتخذنا هذا الإجراء من باب الحذر. ما تستطيع فعله
إذا كنت تستخدم مفاتيح ECDSA أو Ed25519 ، فلن تلاحظ أي تغييرات ولا يلزم اتخاذ أي إجراء.
إذا رأيت الرسالة التالية عند الاتصال بـ GitHub.com عبر SSH ، فتابع القراءة. @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@ @ تحذير: تم تغيير معرف المضيف البعيد! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@ من المحتمل أن يقوم شخص ما بعمل شيء خاطئ! ربما يتجسس عليك شخص ما الآن (هجوم رجل في الوسط)! من الممكن أيضًا أن يكون مفتاح المضيف قد تم تغييره للتو. بصمة مفتاح RSA التي أرسلها المضيف البعيد هي SHA256: uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s. من فضلك تواصل مع مسؤول نظامك. أضف مفتاح المضيف الصحيح في ~ / .ssh / known_hosts للتخلص من هذه الرسالة. تم تغيير مفتاح المضيف لـ github.com وطلبت التحقق الصارم. فشل التحقق من مفتاح المضيف.
إذا رأيت الرسالة أعلاه ، فستحتاج إلى حذف المفتاح القديم عن طريق تشغيل هذا الأمر: $ ssh-keygen -R github.com
أو حدّث ملف ~ / .ssh / known_hosts يدويًا لإزالة الإدخال القديم.
بعد ذلك ، يمكنك إضافة السطر التالي يدويًا لإضافة إدخال مفتاح RSA SSH العمومي الجديد إلى ملف ~ / .ssh / known_hosts:
github.com ssh-rsa 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أو قم تلقائيًا بتحديث مفتاح RSA SSH من GitHub.com في ~ / .ssh / known_hosts ، عن طريق تشغيل ما يلي في جهازك الطرفي: $ ssh-keygen -R github.com $ curl -L https://api.github.com/meta | jq -r '.ssh_keys | . [] '| sed -e 's / ^ / github.com/' >> ~ / .ssh / known_hosts
يمكنك التحقق من اتصال مضيفيك من خلال مفتاح RSA SSH الجديد الخاص بنا عن طريق التأكيد على أنك ترى البصمة التالية: SHA256: uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s
قد يرى مستخدمو إجراءات GitHub إخفاقات في تنفيذ سير العمل إذا استخدموا الإجراءات / التحقق باستخدام خيار ssh-key. نقوم بتحديث الإجراءات / إجراء السحب في جميع العلامات المدعومة لدينا ، بما في ذلك @ v2 و @ v3 وmain. إذا قمت بتثبيت الإجراء في SHA الالتزام واستخدمت خيار ssh-key ، فستحتاج إلى تحديث سير العمل الخاص بك. يمكنك معرفة المزيد حول هذه العملية في وثائق تقوية الإجراءات الرسمية الخاصة بنا.
لمزيد من المعلومات ، يرجى الاطلاع على وثائقنا الرسمية حول بصمة المفتاح العام SSH الخاص بـ GitHub.
What's Your Reaction?
