GitHub повідомив про скидання всіх автентифікованих сеансів до GitHub.com та необхідність підключитися до сервісу знову через виявлення проблеми з безпекою. Зазначається, що проблема проявляється дуже рідко і зачіпає лише невелику кількість сеансів, але потенційно становить велику небезпеку, оскільки дозволяє одному автентифікованому користувачеві отримати доступ до сеансу іншого користувача.
Вразливість викликана станом гонки при обробці запитів бекендом і призводить до маршрутизації сеансу користувача до браузера іншого користувача, що дозволяє отримати повний доступ до чужої сесійної cookie. За приблизною оцінкою, неправильне перенаправлення торкнулося близько 0.001% від усіх автентифікованих сеансів на GitHub.com. Стверджується, що подібна переадресація виникала за випадкового збігу обставин, які неможливо навмисно викликати діями зловмисника. Зміни, що викликають проблему, були внесені 8 лютого і виправлені 5 березня. 8 березня було додано додаткові перевірки із більш загальним захистом від подібного типу помилок.
Джерело: opennet.ru