GitHub паведаміў аб скідзе ўсіх аўтэнтыфікаваных сеансаў да GitHub.com і неабходнасці падключыцца да сэрвісу зноў з-за выяўленні праблемы з бяспекай. Адзначаецца, што праблема выяўляецца вельмі рэдка і закранае толькі невялікі лік сеансаў, але патэнцыйна ўяўляе вялікую небяспеку, бо дазваляе аднаму аўтэнтыфікаванаму карыстачу атрымаць доступ да сеансу іншага карыстача.
Уразлівасць выклікана станам гонкі пры апрацоўцы запытаў бэкэндам і прыводзіць да маршрутызацыі сеансу карыстача ў браўзэр іншага карыстача, што дазваляе атрымаць поўны доступ да чужой сесійнай cookie. Па прыблізнай адзнацы няправільнае перанакіраванне закранула каля 0.001% ад усіх аўтэнтыфікаваных сеансаў на GitHub.com. Сцвярджаецца, што падобная пераадрасацыя ўзнікала пры выпадковым збегу абставін, якія немагчыма наўмысна выклікаць дзеяннямі зламысніка. Змяненні, якія выклікалі праблему, былі ўнесены 8 лютага і выпраўлены 5 сакавіка. 8 сакавіка былі дададзены дадатковыя праверкі з больш агульнай абаронай ад падобнага тыпу памылак.
Крыніца: opennet.ru