Ошибка в Haskell-пакете ssh привела к возможности успешной аутентификации любого пользователя посредством его публичного (не приватного!) ключа. Haskell-реализация SSH, в частности, используется в darcsden для организации совместного доступа к репозиториям системы контроля версий Darcs. В связи с этим всем пользователям darcsden (в частности, пользователям онлайн-хранилища репозиториев Darcs Hub) настоятельно рекомендуется проверить целостность и аутентичность своих репозиториев.

Хронология:

• 21.03: От стороннего разработчика получены сведения о проблеме с пакетом ssh: последний некорректно осуществлял проверку подписи публичного ключа во время аутентификации пользователя. Как результат, стало возможным пройти аутентификацию, зная лишь публичный SSH-ключ пользователя.
• 21.03: Проблема обсуждается с рядом основных разработчиков Darcs, а также с автором Haskell-пакета ssh.
• 25.03: Предварительное исправление вносится на Darcs Hub. Предполагается, что уязвимость уже была этим действием закрыта.
• 06.04: Вносится более проработанное и протестированное исправление.
• 15.04: Всем пользователям Darcs Hub, кто указал работоспособный адрес электронной почты, отправлены уведомления.
• 20.04: Сведения об уязвимости публично раскрыты.