GitHub обяви, че е нулирал всички удостоверени сесии към GitHub.com и ще трябва да се свърже отново с услугата поради идентифициран проблем със сигурността. Отбелязва се, че проблемът възниква много рядко и засяга само малък брой сесии, но е потенциално много опасен, защото позволява на един удостоверен потребител да има достъп до сесията на друг потребител.
Уязвимостта е причинена от състояние на състезание при обработката на заявките от бекенда и води до насочване на потребителска сесия към браузъра на друг потребител, което позволява пълен достъп до сесийната бисквитка на другия потребител. Като груба оценка, лошото пренасочване е засегнало около 0.001% от всички удостоверени сесии на GitHub.com. Твърди се, че такова пренасочване е станало поради случайна комбинация от обстоятелства, които не могат да бъдат умишлено причинени от действията на нападател. Промените, причиняващи проблема, бяха направени на 8 февруари и коригирани на 5 март. На 8 март бяха добавени допълнителни проверки, за да се осигури по-обща защита срещу този тип грешки.
Източник: opennet.ru