GitHub har annonceret, at den har nulstillet alle godkendte sessioner til GitHub.com og bliver nødt til at genoprette forbindelse til tjenesten på grund af et sikkerhedsproblem, der er identificeret. Det bemærkes, at problemet opstår meget sjældent og kun påvirker et lille antal sessioner, men er potentielt meget farligt, fordi det giver en godkendt bruger mulighed for at få adgang til en anden brugers session.
Sårbarheden er forårsaget af en racetilstand i backends behandling af anmodninger og resulterer i, at en brugers session bliver dirigeret til en anden brugers browser, hvilket giver fuld adgang til den anden brugers sessionscookie. Som et groft skøn påvirkede den dårlige omdirigering omkring 0.001 % af alle godkendte sessioner på GitHub.com. Det hævdes, at en sådan omdirigering skete på grund af en tilfældig kombination af omstændigheder, der ikke bevidst kan forårsages af en angribers handlinger. Ændringerne, der forårsagede problemet, blev foretaget den 8. februar og rettet den 5. marts. Den 8. marts blev der tilføjet yderligere kontroller for at give mere generel beskyttelse mod denne type fejl.
Kilde: opennet.ru
