[Информационная безопасность, GitHub, IT-компании] GitHub разлогинил всех пользователей из-за опасений о безопасности

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
09-Мар-2021 15:34


8 марта 2021 года веб-сервис для хостинга IT-проектов и их совместной разработки GitHub сообщил об устранении потенциально серьезной уязвимости безопасности, связанной с обработкой аутентифицированных сессий. Из-за этой ошибки малая часть аутентифицированных пользователей (0.001%) могла получить доступ к чужому сеансу. Для полного закрытия проблемы и в качестве предосторожности сервису понадобилось провести сброс всех пользовательских сеансов к GitHub.com, которые были созданы до 12:03 UTC 8 марта. Разработчикам необходимо заново переподключиться к GitHub.
GitHub пояснил, что 2 марта сотрудники сервиса получили информацию из внешних источников об аномальном поведении аутентифицированного пользовательского сеанса на GitHub.com. Анализ этих данных, выполненный группой безопасности и разработки GitHub, помог определить основную причину возникновения проблемы и уровень ее распространение. 5 марта GitHub предпринял первоначальные корректирующие действия для исправления обнаруженной уязвимости, 8 марта сервиса применил второй патч в своей системе, который устранил ошибку. Для окончательного применения обновления сервис аннулировал все сеансы пользователей, чтобы избежать даже отдаленной возможности того, что не обнаруженные и скомпрометированные сеансы все еще могут существовать после исправления уязвимости.
Сервис предоставил небольшой группе аккаунтов, которые по данным GitHub были затронуты этой проблемой, всю нужную информацию о возникшем ситуации и рекомендации по необходимым действиям.
Расследование специалистов GitHub показало, что в очень редких случаях состояние гонки в процессе обработки внутренних запросов на сервере могло привести к неправильному перенаправлению сеанса пользователя в браузер другого аутентифицированного пользователя, предоставив ему действительный и аутентифицированный файл cookie сеанса для другого пользователя. Эта ошибка существовала на GitHub.com с 8 февраля 2021 года по 5 марта 2021 года.
GitHub отметил, что эта проблема не была результатом взлома паролей учетных записей, утечки ключей SSH или токенов личного доступа (PAT). Также у сервиса нет никаких свидетельств того, что это было результатом компрометации каких-либо других систем GitHub. Вместо этого эта проблема была связана с редкой и изолированной неправильной обработкой аутентифицированных сеансов. Кроме того, эта ошибка не могла быть намеренно вызвана или использована злоумышленниками. У GitHub нет никаких указаний на то, что эта проблема затронула другие свойства или продукты GitHub.com, включая GitHub Enterprise Server. По оценке сервиса, неправильная маршрутизация сеанса произошла менее чем у 0,001% от всех аутентифицированных сеансов на GitHub.com.
15 декабря 2020 года GitHub предупредил всех пользователей о плановом переходе на токены и SSH-ключи при доступе к Git. Доступ только по паролям к Git будет заблокирован с 13 августа 2021 года.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_github, #_itkompanii (IT-компании), #_github, #_sbros_sessij (сброс сессий), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
, #_github, #_itkompanii (
IT-компании
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 15:23
Часовой пояс: UTC + 5