GitHub客户端代码签名证书被窃
在去年12月的一起网络攻击中,GitHub代码签名证书被窃。
2022年12月7日,GitHub检测到GitHub规划和开发中使用的库文件被非授权访问。经过调查,GitHub认为这对github.com服务没有影响,因为并未出现非授权修改的情况。
GitHub库被非授权访问的原因是加密的代码签名证书被窃,随后,GitHub吊销了被入侵的凭证,并调查该事件对客户和内部系统的影响。发现受影响的库中并不包含任何客户数据。而证书的通过密码保护的,目前没有证据表明证书被恶意利用。
被入侵的库中保存着加密的代码签名证书。目前尚不清楚攻击者是否可以解密或使用这些证书。证书是用来验证代码是否是原作者创建的,这些证书并不会对已安装的GitHub Desktop和Atom产生影响。但如果攻击者成功解密证书,就可以用这些证书对非官方的应用签名,并假装是GitHub官方创建的。
截止12月6日有3个证书仍然是有效的:2个Windows版本 Digicert代码签名证书和1个Apple Developer ID证书。其中1个Digicert证书已在1月4日过期,另一个将在2月1日过期。过期后,证书将无法再用于代码签名。但为了预防潜在风险,GitHub将于2月2日将证书吊销。
Apple Developer ID 证书的有效期为2027年,GitHub将于2月2日将证书吊销。并将于苹果公司监控用该证书签名的新的可执行文件。
GitHub将吊销受影响的用于GitHub Desktop和 Atom的证书。证书吊销后,部分GitHub Desktop Mac版和Atom 将无法使用。
GitHub Desktop Mac以下版本将在2月2日停止服务,请更新到最新版本:
3.1.2
3.1.1
3.1.0
3.0.8
3.0.7
3.0.6
3.0.5
3.0.4
3.0.3
3.0.2
GitHub Desktop Windows版本不受影响。
以下Atom版本将于2月2日停止服务,用户需要下载之前的Atom版本:
1.63.1
1.63.0
参考及来源:嘶吼专业版https://github.blog/2023-01-30-action-needed-for-github-desktop-and-atom-users/