A Way of Code

興味の赴くままに書き綴っていきます。

GitHubからSSHキーを検査しろ、って言われた

Git News

GitHubから"Action Required - SSH Key Vulnerability"という件名のメールが送られてきました。

以下のページで、身に覚えのないSSHキーをRejectしてください。
自分が設定したSSHキーであれば承認してください。
https://github.com/settings/ssh/audit

確認方法

GitHubにログインして、SSHキーの確認ページを開きます。
https://github.com/settings/ssh/audit

表示されたfinger printが自分が作成したSSHキーのfinger printと同一かを確認します。
finger printを確認するには`ssh-keygen -l `を実行します。

ssh-keygen -l 
Enter file in which the key is (/Users/toggtc/.ssh/id_rsa): ※SSHキーファイルのパスを入力

すると、finger printが表示されますので、確認ページに表示された内容と同一のものか確認します。

GitHubから届いたメールの内容

#ざっくり意訳します

不定のGitHubアカウントに新しいSSHキーを追加できるセキュリティの脆弱性が発見されました!
この脆弱性はread/write権限付きでリポジトリへのclone/pullアクセスが出来ます。
日本標準時 3/4(日) 午前 8:53、この脆弱性は無くなりました。
既知の悪意のある活動は報告されていませんが、その一方で、全ての既存のSSHキーの検査を強制する追加の予防策を講じています。

っつーわけで、以下のことを行なってください。

要求されたアクション:

次のサイトに行って、あなたのGitHubアカウントに関係するSSHキーを確認してね。
https://github.com/settings/ssh/audit

※訳注:身に覚えのないSSHキーをRejectして、ってこと。

SSHキーを承認しないと、リポジトリに対してclone/pull/pushができないよ!

状況:
私どもはセキュリティを真摯に受け止めて、問題が起こらなかったと認識しています。
十分なコード検査に加えて、あなたのアカウントのセキュリティを増強する次の手段を取りました:

  • 全ての既存のSSHキーの検査を強要しています
  • いま新しいSSHキーを加えるとパスワードを要求します
  • 新しいSSHキーがあなたのアカウントに加えられればemailを送ります
  • Account Settingsページからアカウント変更のログを確認することができます