GitHub اعلام کرده است که تمام جلسات تأیید شده را به GitHub.com بازنشانی کرده است و به دلیل شناسایی یک مشکل امنیتی باید دوباره به سرویس متصل شود. خاطرنشان می شود که این مشکل به ندرت رخ می دهد و فقط تعداد کمی از جلسات را تحت تأثیر قرار می دهد، اما به طور بالقوه بسیار خطرناک است زیرا به یک کاربر تأیید شده اجازه می دهد تا به جلسه کاربر دیگر دسترسی پیدا کند.
این آسیبپذیری به دلیل یک شرایط مسابقه در پردازش درخواستها توسط Backend ایجاد میشود و منجر به هدایت جلسه کاربر به مرورگر کاربر دیگر میشود که امکان دسترسی کامل به کوکی جلسه کاربر دیگر را فراهم میکند. به عنوان یک تخمین تقریبی، تغییر مسیر بد حدود 0.001٪ از تمام جلسات تأیید شده در GitHub.com را تحت تأثیر قرار داد. ادعا می شود که چنین تغییر مسیری به دلیل ترکیب تصادفی شرایطی رخ داده است که نمی تواند عمداً توسط اقدامات یک مهاجم ایجاد شود. تغییرات ایجاد کننده این مشکل در 8 فوریه ایجاد شد و در 5 مارس برطرف شد. در 8 مارس، بررسی های اضافی برای محافظت عمومی تر در برابر این نوع خطا اضافه شد.
منبع: opennet.ru