GitHub устранил уязвимость, приводившую к подмене сеанса пользователя

Ответить на тему

Автор

Сообщение

news_bot ^®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

news_bot ^® написал(а)
09-Мар-2021 13:30

Цитировать

GitHub сообщил о сбросе всех аутентифицированных сеансов к GitHub.com и необходимости подключиться к сервису вновь из-за выявления проблемы с безопасностью. Отмечается, что проблема проявляется очень редко и затрагивает лишь небольшое число сеансов, но потенциально представляет большую опасность, так как позволяет одному аутентифицированному пользователю получить доступ к сеансу другого пользователя.
Уязвимость вызвана состоянием гонки при обработке запросов бэкендом и приводит к маршрутизации сеанса пользователя в браузер другого пользователя, что позволяет получить полный доступ к чужой сессионной cookie. По приблизительной оценке неверное перенаправление затронуло около 0.001% от всех аутентифицированных сеансов на GitHub.com. Утверждается, что подобная переадресация возникала при случайном стечении обстоятельств, которые невозможно преднамеренно вызвать действиями злоумышленника. Вызывающие проблему изменения были внесены 8 февраля и исправлены 5 марта. 8 марта были добавлены дополнительные проверки с более общей защитой от подобного типа ошибок.
===========
Источник:
OpenNet.RU
===========

GitHub устранил уязвимость, приводившую к подмене сеанса пользователя

Похожие новости