GitHub ha anunciat que ha restablert totes les sessions autenticades a GitHub.com i haurà de tornar a connectar-se al servei perquè s'ha identificat un problema de seguretat. S'observa que el problema es produeix molt poques vegades i afecta només un nombre reduït de sessions, però és potencialment molt perillós perquè permet que un usuari autenticat accedeixi a la sessió d'un altre usuari.
La vulnerabilitat és causada per una condició de carrera en el processament de sol·licituds del backend i fa que la sessió d'un usuari s'enviï al navegador d'un altre usuari, permetent l'accés total a la galeta de sessió de l'altre usuari. Com a estimació aproximada, la mala redirecció va afectar al voltant del 0.001% de totes les sessions autenticades a GitHub.com. S'al·lega que aquesta redirecció es va produir a causa d'una combinació aleatòria de circumstàncies que no poden ser provocades deliberadament per les accions d'un atacant. Els canvis que van causar el problema es van fer el 8 de febrer i es van solucionar el 5 de març. El 8 de març es van afegir controls addicionals per oferir una protecció més general contra aquest tipus d'error.
Font: opennet.ru