GitHub-ը հայտարարել է, որ GitHub.com-ի բոլոր նույնականացված սեսիաները վերագործարկվել են, և որ անվտանգության խնդրի պատճառով անհրաժեշտ է վերամիանալ ծառայությանը։ Ասվում է, որ խնդիրը շատ հազվադեպ է հանդիպում և ազդում է միայն սեսիաների փոքր թվի վրա, բայց պոտենցիալ շատ վտանգավոր է, քանի որ այն թույլ է տալիս մեկ նույնականացված օգտատիրոջ մուտք գործել մեկ այլ օգտատիրոջ սեսիա։
Խոցելիությունը պայմանավորված է հարցումների ներքին մշակման գործընթացում առկա մրցավազքի պայմանով, որի արդյունքում օգտատիրոջ սեսիան ուղղորդվում է մեկ այլ օգտատիրոջ զննարկիչ, ինչը թույլ է տալիս լիարժեք մուտք գործել ուրիշի սեսիայի cookie-ին: Սխալ վերահասցեավորումը, ըստ գնահատականների, ազդել է GitHub.com կայքում բոլոր հաստատված սեսիաների մոտավորապես 0.001%-ի վրա: Ասում են, որ վերահասցեավորումը տեղի է ունեցել պատահական հանգամանքների պատճառով, որոնք չէին կարող դիտավորյալ առաջացած լինել հարձակվողի կողմից: Խնդրի պատճառ հանդիսացած փոփոխությունները կատարվել են փետրվարի 8-ին և շտկվել մարտի 5-ին: Մարտի 8-ին ավելացվել են լրացուցիչ ստուգումներ՝ այս տեսակի սխալներից ավելի ընդհանուր պաշտպանվելու համար:
Source: opennet.ru
