GitHub ir paziņojis, ka ir atiestatījis visas autentificētās sesijas vietnē GitHub.com un tam būs atkārtoti jāizveido savienojums ar pakalpojumu, jo tiek konstatēta drošības problēma. Tiek atzīmēts, ka problēma rodas ļoti reti un skar tikai nelielu skaitu sesiju, taču tā ir potenciāli ļoti bīstama, jo ļauj vienam autentificētam lietotājam piekļūt cita lietotāja sesijai.
Ievainojamību izraisa sacīkšu nosacījums aizmugursistēmas pieprasījumu apstrādē, un rezultātā lietotāja sesija tiek novirzīta uz cita lietotāja pārlūkprogrammu, ļaujot pilnībā piekļūt cita lietotāja sesijas sīkfailam. Aptuvens aprēķins liecina, ka sliktā novirzīšana ietekmēja aptuveni 0.001% no visām autentificētajām sesijām vietnē GitHub.com. Tiek apgalvots, ka šāda novirzīšana notikusi nejaušas apstākļu kombinācijas dēļ, ko nevar apzināti izraisīt uzbrucēja darbības. Izmaiņas, kas izraisīja problēmu, tika veiktas 8. februārī un labotas 5. martā. 8. martā tika pievienotas papildu pārbaudes, lai nodrošinātu vispārīgāku aizsardzību pret šāda veida kļūdām.
Avots: opennet.ru