GitHub telah mengumumkan bahwa mereka telah menyetel ulang semua sesi yang diautentikasi ke GitHub.com dan perlu menyambung kembali ke layanan karena masalah keamanan teridentifikasi. Perlu dicatat bahwa masalah ini sangat jarang terjadi dan hanya mempengaruhi sejumlah kecil sesi, namun berpotensi sangat berbahaya karena memungkinkan satu pengguna yang diautentikasi mendapatkan akses ke sesi pengguna lain.
Kerentanan ini disebabkan oleh kondisi balapan dalam pemrosesan permintaan di backend dan mengakibatkan sesi pengguna dialihkan ke browser pengguna lain, sehingga memungkinkan akses penuh ke cookie sesi pengguna lain. Sebagai perkiraan kasar, pengalihan buruk memengaruhi sekitar 0.001% dari semua sesi yang diautentikasi di GitHub.com. Diduga pengalihan tersebut terjadi karena kombinasi keadaan acak yang tidak dapat dengan sengaja disebabkan oleh tindakan penyerang. Perubahan yang menyebabkan masalah ini dilakukan pada tanggal 8 Februari dan diperbaiki pada tanggal 5 Maret. Pada tanggal 8 Maret, pemeriksaan tambahan ditambahkan untuk memberikan perlindungan yang lebih umum terhadap jenis kesalahan ini.
Sumber: opennet.ru