GitHub, kimliği doğrulanmış tüm oturumları GitHub.com'a sıfırladığını ve tespit edilen bir güvenlik sorunu nedeniyle hizmete yeniden bağlanması gerekeceğini duyurdu. Sorunun çok nadir meydana geldiği ve yalnızca az sayıda oturumu etkilediği, ancak kimliği doğrulanmış bir kullanıcının başka bir kullanıcının oturumuna erişmesine izin vermesi nedeniyle potansiyel olarak çok tehlikeli olduğu belirtiliyor.
Güvenlik açığı, arka ucun istekleri işlemesindeki bir yarış koşulundan kaynaklanıyor ve bir kullanıcının oturumunun başka bir kullanıcının tarayıcısına yönlendirilerek diğer kullanıcının oturum çerezine tam erişime izin verilmesiyle sonuçlanıyor. Kaba bir tahmin olarak, kötü yönlendirme GitHub.com'daki tüm kimliği doğrulanmış oturumların yaklaşık %0.001'ini etkiledi. Bu tür bir yönlendirmenin, bir saldırganın eylemlerinin kasıtlı olarak neden olamayacağı koşulların rastgele bir birleşimi nedeniyle meydana geldiği iddia ediliyor. Soruna neden olan değişiklikler 8 Şubat'ta yapıldı ve 5 Mart'ta düzeltildi. 8 Mart'ta bu tür hatalara karşı daha genel koruma sağlamak için ek kontroller eklendi.
Kaynak: opennet.ru