読者です 読者をやめる 読者になる 読者になる

github "Action Required - SSH Key Vulnerability"に対処する方法

3/8 githubからセキュリティに関する次のようなメールが届きました。超訳すると、こんな感じです。

A security vulnerability was recently discovered that made it possible for an attacker to add new SSH keys to arbitrary GitHub user accounts. This would have provided an attacker with clone/pull access to repositories with read permissions, and clone/pull/push access to repositories with write permissions. As of 5:53 PM UTC on Sunday, March 4th the vulnerability no longer exists.

セキュリティ脆弱性により、攻撃者がgithubユーザのアカウントに新しい秘密鍵を追加することができる状態にあったことが最近わかりました。これは、攻撃者は読み出し権限のあるレポジトリに対してclone/pullのアクセスができ、書き込み権限のあるレポジトリに対してclone/pull/pushのアクセスができるというものです。
3/4 標準時間 5:53にはこの脆弱性はなくなりました。

# Required Action
Since you have one or more SSH keys associated with your GitHub account you must visit https://github.com/settings/ssh/audit to approve each valid SSH key.

github関連のSSH鍵をもっていたら、https://github.com/settings/ssh/auditにアクセスして、ちゃんとしたSSH鍵を認証してくださいね!

というわけで、SSH鍵が自分のものかどうか確認してみましょう。