要点

• 攻撃者が任意のアカウントに公開鍵を登録できるようになっていた
• 3/4 5:53 PM UTC の段階でこの脆弱性は存在しない
• 攻撃者による公開鍵の改ざんの問題は報告はされていないが、すべての公開鍵に関して確認を実施する
• 確認がされていない公開鍵では、clone/pull/push ができなくなる
• 今後の対策として以下を実施予定
  • 公開鍵の変更時にパスワードを要求する
  • 公開鍵が追加された時に登録アカウントにメールを送信する
  • アカウント設定のページの変更ログを閲覧できる

確認手順

https://github.com/settings/ssh/audit にいってApproveをする。公開鍵の確認はFingerprintによる確認になっているので、ssh-keygen -l -f {public_key_file} の結果と画面の値が一致するか確認する。

脆弱性の関連情報

• http://blog.sorah.jp/2012/03/05/mass-assignment-vulnerability-in-github
• https://github.com/blog/1068-public-key-security-vulnerability-and-mitigation
• http://enlightsolutions.com/articles/whats-new-in-edge-scoped-mass-assignment-in-rails-3-1

所感

Mass assignment問題は、公開鍵の不正な追加以外にも利用しうると思うのだけど、その辺も対応が完了しているのかよく分からなかった。