GitHub heeft aangekondigd dat het alle geverifieerde sessies heeft gereset naar GitHub.com en opnieuw verbinding moet maken met de service omdat er een beveiligingsprobleem is vastgesteld. Opgemerkt wordt dat het probleem zeer zelden voorkomt en slechts een klein aantal sessies treft, maar potentieel zeer gevaarlijk is omdat het één geauthenticeerde gebruiker toegang geeft tot de sessie van een andere gebruiker.
Het beveiligingslek wordt veroorzaakt door een race condition in de verwerking van verzoeken door de backend en heeft tot gevolg dat de sessie van een gebruiker wordt doorgestuurd naar de browser van een andere gebruiker, waardoor volledige toegang tot de sessiecookie van de andere gebruiker mogelijk is. Volgens een ruwe schatting heeft de slechte omleiding ongeveer 0.001% van alle geverifieerde sessies op GitHub.com getroffen. Er wordt beweerd dat een dergelijke omleiding plaatsvond als gevolg van een willekeurige combinatie van omstandigheden die niet opzettelijk kan worden veroorzaakt door de acties van een aanvaller. De wijzigingen die het probleem veroorzaakten, zijn op 8 februari aangebracht en op 5 maart opgelost. Op 8 maart werden extra controles toegevoegd om meer algemene bescherming tegen dit soort fouten te bieden.
Bron: opennet.ru