GitHub je najavio da je resetovao sve autentifikovane sesije na GitHub.com i da će morati ponovo da se poveže na uslugu zbog identifikovanog bezbednosnog problema. Napominje se da se problem javlja vrlo rijetko i pogađa samo mali broj sesija, ali je potencijalno vrlo opasan jer omogućava jednom autentificiranom korisniku da dobije pristup sesiji drugog korisnika.
Ranjivost je uzrokovana stanjem utrke u pozadinskoj obradi zahtjeva i rezultira da se sesija korisnika preusmjerava na pretraživač drugog korisnika, omogućavajući potpuni pristup kolačićima sesije drugog korisnika. Kao gruba procena, loše preusmeravanje je uticalo na oko 0.001% svih autentifikovanih sesija na GitHub.com. Navodi se da je do takvog preusmjeravanja došlo zbog slučajnog spleta okolnosti koje ne mogu biti namjerno uzrokovane radnjama napadača. Promjene koje su uzrokovale problem su napravljene 8. februara i popravljene 5. marta. 8. marta dodane su dodatne provjere kako bi se pružila općenitija zaštita od ove vrste greške.
izvor: opennet.ru
