Το GitHub ανακοίνωσε ότι έχει επαναφέρει όλες τις επαληθευμένες περιόδους σύνδεσης στο GitHub.com και θα χρειαστεί να επανασυνδεθεί στην υπηρεσία λόγω του εντοπισμού ενός ζητήματος ασφαλείας. Σημειώνεται ότι το πρόβλημα παρουσιάζεται πολύ σπάνια και επηρεάζει μόνο έναν μικρό αριθμό περιόδων σύνδεσης, αλλά είναι δυνητικά πολύ επικίνδυνο επειδή επιτρέπει σε έναν πιστοποιημένο χρήστη να αποκτήσει πρόσβαση στη συνεδρία άλλου χρήστη.
Η ευπάθεια προκαλείται από μια συνθήκη φυλής στην επεξεργασία αιτημάτων από το backend και έχει ως αποτέλεσμα τη δρομολόγηση της συνεδρίας ενός χρήστη στο πρόγραμμα περιήγησης άλλου χρήστη, επιτρέποντας την πλήρη πρόσβαση στο cookie περιόδου λειτουργίας του άλλου χρήστη. Ως χονδρική εκτίμηση, η κακή ανακατεύθυνση επηρέασε περίπου το 0.001% όλων των επαληθευμένων περιόδων σύνδεσης στο GitHub.com. Υποτίθεται ότι αυτή η ανακατεύθυνση συνέβη λόγω ενός τυχαίου συνδυασμού περιστάσεων που δεν μπορεί να προκληθεί σκόπιμα από τις ενέργειες ενός εισβολέα. Οι αλλαγές που προκάλεσαν το πρόβλημα έγιναν στις 8 Φεβρουαρίου και διορθώθηκαν στις 5 Μαρτίου. Στις 8 Μαρτίου, προστέθηκαν πρόσθετοι έλεγχοι για την παροχή γενικότερης προστασίας έναντι αυτού του είδους σφαλμάτων.
Πηγή: opennet.ru