GitHub anoncis, ke ĝi restarigis ĉiujn aŭtentikigitajn sesiojn al GitHub.com kaj devos rekonekti al la servo pro sekureca problemo estanta identigita. Oni rimarkas, ke la problemo okazas tre malofte kaj influas nur malgrandan nombron da sesioj, sed estas eble tre danĝera ĉar ĝi permesas al unu aŭtentikigita uzanto akiri aliron al la sesio de alia uzanto.
La vundebleco estas kaŭzita de raskondiĉo en la procesado de petoj de la backend kaj rezultigas la seancon de uzanto direktita al la retumilo de alia uzanto, permesante plenan aliron al la sesiokuketo de la alia uzanto. Kiel malglata takso, la malbona alidirekto influis ĉirkaŭ 0.001% de ĉiuj aŭtentikigitaj sesioj en GitHub.com. Oni supozas, ke tia alidirekto okazis pro hazarda kombinaĵo de cirkonstancoj, kiuj ne povas esti intence kaŭzitaj de la agoj de atakanto. La ŝanĝoj kaŭzantaj la problemon estis faritaj la 8-an de februaro kaj fiksitaj la 5-an de marto. La 8-an de marto, pliaj kontroloj estis aldonitaj por provizi pli ĝeneralan protekton kontraŭ ĉi tiu speco de eraro.
fonto: opennet.ru