GitHub har meddelat att den har återställt alla autentiserade sessioner till GitHub.com och kommer att behöva återansluta till tjänsten på grund av att ett säkerhetsproblem har identifierats. Det noteras att problemet uppstår mycket sällan och endast påverkar ett litet antal sessioner, men är potentiellt mycket farligt eftersom det tillåter en autentiserad användare att få tillgång till en annan användares session.
Sårbarheten orsakas av ett rastillstånd i backendens bearbetning av förfrågningar och resulterar i att en användares session dirigeras till en annan användares webbläsare, vilket ger full åtkomst till den andra användarens sessionscookie. Som en grov uppskattning påverkade den dåliga omdirigeringen cirka 0.001 % av alla autentiserade sessioner på GitHub.com. Det påstås att en sådan omdirigering inträffade på grund av en slumpmässig kombination av omständigheter som inte medvetet kan orsakas av en angripares handlingar. Ändringarna som orsakade problemet gjordes den 8 februari och fixade den 5 mars. Den 8 mars tillkom ytterligare kontroller för att ge ett mer generellt skydd mot denna typ av fel.
Källa: opennet.ru