GitHub พบ SSH Key ของ github.com หลุดบน public repo
By: DH
Published: March 25, 2023
ไม่น่าเชื่อว่าขนาด GitHub เองยังพลาด โดยในวันที่ 24 มีนาคม ที่ผ่านมา GitHub ได้ตรวจสอบพบว่า RSA SSH private key ของเว็บไซต์ github.com หลุดบน public repository !!
โดยทาง GitHub ได้แจ้งว่า การหลุดของคีย์ในครั้งนี้ ไม่ได้ส่งผลกระทบต่อการเข้าถึงข้อมูลผู้ใช้ GitHub จะมีผลเพียงแค่การใช้งาน GitHub operations ต่าง ๆ ผ่าน SSH เท่านั้น
โดย GitHub มีคีย์ 4 ประเภท ในการเชื่อมต่อ remote server
- SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s (RSA)
- SHA256:br9IjFspm1vxR3iA35FWE+4VTyz1hYVLIE2t1/CeyWQ (DSA - deprecated)
- SHA256:p2QAMXNIC1TJYWeIOttrVc98/R1BUFWu3/LiyKgUfQM (ECDSA)
- SHA256:+DiY3wvvV6TuJJhbpZisF/zLDA0zPMSvHdkr4UvCOqU (Ed25519)
ถ้าเราเข้าใช้งานโดยใช้คีย์ ECDSA or Ed25519 เราไม่ต้องทำอะไรครับ
แต่ถ้าเข้าใช้งาน github.com ผ่าน RSA SSH คีย์จะพบกับข้อความด้านล่าง
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s.
Please contact your system administrator.
Add correct host key in ~/.ssh/known_hosts to get rid of this message.
Host key for github.com has changed and you have requested strict checking.
Host key verification failed.ถ้าพบข้อความด้านบน ให้ทำการลบคีย์เดิมออกด้วยคำสั่ง
$ ssh-keygen -R github.comจากนั้นเพิ่มคีย์ด้านล่างนี้ เข้าไปในไฟล์ ~/.ssh/known_hosts
github.com ssh-rsa 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ถ้าเชื่อมต่อกับ host เรียบร้อยด้วย RSA SSH Key ตัวใหม่ จะเห็นข้อความด้านล่าง
SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2sถึงแม้ตอนนี้ GitHub ได้ revoke คีย์ใหม่แล้วเรียบร้อย แต่ก็น่าคิดว่าขนาด GitHub ยังพลาดได้ ?
อย่าลืมกดติดตาม Facebook ของ DH กันด้วยนะครับ จะได้ไม่พลาดเนื้อหาสาระดี ๆ
อ้างอิง
เปิดโลกการเขียนโปรแกรมและ Software Development ด้วย online courses ที่จะพาคุณอัพสกิลและพัฒนาสู่การเป็นมืออาชีพ เรียนออนไลน์ เรียนจากที่ไหนก็ได้ พร้อมซัพพอร์ตหลังเรียน
คอร์สเรียนเขียนโปรแกรมข่าวล่าสุด
- Thomas E. Kurtz ผู้สร้างภาษาโปรแกรมมิ่งในตำนาน "ภาษา Basic" เสียชีวิตแล้ว
- ผลสำรวจ 2024 Developer Survey by Stack Overflow
- เปิดตัว Claude 3.5 Sonnet สุดยอดโมเดล AI เก่งกว่า GPT-4o เจ๋งสุดของโลกตอนนี้
- Kotlin 2.0.0 released! พร้อมกับคอมไพเลอร์ตัวใหม่ชื่อ Kotlin K2 คอมไพฯไวขึ้น
- ชาว Europe เฮ Claude ใช้งานได้แล้วตอนนี้ในยุโรป
- อินโดนีเซียเนื้อหอม ไมโครซอฟท์ลงทุนใน AI infra มหาศาลกว่า 1.7 พันล้านดอลลาร์
- Jpegli ไลบรารีสำหรับเข้ารหัสไฟล์ JPEG ประสิทธิภาพสูงที่ Google แนะนำ
- Grok AI ของ Elon Musk ถูกปล่อยออกเป็นโอเพ่นซอร์สเรียบร้อย
- อดีต software engineer ชาวจีนของ Google ถูกตั้งข้อหาขโมยความลับ AI
- เปิดตัว Claude 3 โมเดลใหม่ ทรงพลังขั้นสุด เหนือกว่า GPT และ Gemini