[Информационная безопасность, GitHub, IT-компании] GitHub разлогинил всех пользователей из-за опасений о безопасности
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
8 марта 2021 года веб-сервис для хостинга IT-проектов и их совместной разработки GitHub сообщил об устранении потенциально серьезной уязвимости безопасности, связанной с обработкой аутентифицированных сессий. Из-за этой ошибки малая часть аутентифицированных пользователей (0.001%) могла получить доступ к чужому сеансу. Для полного закрытия проблемы и в качестве предосторожности сервису понадобилось провести сброс всех пользовательских сеансов к GitHub.com, которые были созданы до 12:03 UTC 8 марта. Разработчикам необходимо заново переподключиться к GitHub.
GitHub пояснил, что 2 марта сотрудники сервиса получили информацию из внешних источников об аномальном поведении аутентифицированного пользовательского сеанса на GitHub.com. Анализ этих данных, выполненный группой безопасности и разработки GitHub, помог определить основную причину возникновения проблемы и уровень ее распространение. 5 марта GitHub предпринял первоначальные корректирующие действия для исправления обнаруженной уязвимости, 8 марта сервиса применил второй патч в своей системе, который устранил ошибку. Для окончательного применения обновления сервис аннулировал все сеансы пользователей, чтобы избежать даже отдаленной возможности того, что не обнаруженные и скомпрометированные сеансы все еще могут существовать после исправления уязвимости.
Сервис предоставил небольшой группе аккаунтов, которые по данным GitHub были затронуты этой проблемой, всю нужную информацию о возникшем ситуации и рекомендации по необходимым действиям.
Расследование специалистов GitHub показало, что в очень редких случаях состояние гонки в процессе обработки внутренних запросов на сервере могло привести к неправильному перенаправлению сеанса пользователя в браузер другого аутентифицированного пользователя, предоставив ему действительный и аутентифицированный файл cookie сеанса для другого пользователя. Эта ошибка существовала на GitHub.com с 8 февраля 2021 года по 5 марта 2021 года.
GitHub отметил, что эта проблема не была результатом взлома паролей учетных записей, утечки ключей SSH или токенов личного доступа (PAT). Также у сервиса нет никаких свидетельств того, что это было результатом компрометации каких-либо других систем GitHub. Вместо этого эта проблема была связана с редкой и изолированной неправильной обработкой аутентифицированных сеансов. Кроме того, эта ошибка не могла быть намеренно вызвана или использована злоумышленниками. У GitHub нет никаких указаний на то, что эта проблема затронула другие свойства или продукты GitHub.com, включая GitHub Enterprise Server. По оценке сервиса, неправильная маршрутизация сеанса произошла менее чем у 0,001% от всех аутентифицированных сеансов на GitHub.com.
15 декабря 2020 года GitHub предупредил всех пользователей о плановом переходе на токены и SSH-ключи при доступе к Git. Доступ только по паролям к Git будет заблокирован с 13 августа 2021 года.
===========
Источник:
habr.com
===========
Похожие новости:
- [Бизнес-модели, Энергия и элементы питания, IT-компании] Tesla построит для Техаса 100-мегаваттную станцию хранения энергии
- [Мессенджеры, Законодательство в IT, Социальные сети и сообщества, IT-компании] Роскомнадзор потребовал от Telegram заблокировать боты, которые собирают и распространяют персональные данные россиян
- [Информационная безопасность] Security Week 10: масштабная атака на серверы Microsoft Exchange
- [Информационная безопасность] Атаки китайской APT-группировки HAFNIUM c использованием 0-day в Microsoft Exchange Server: как это было в России
- [Искусственный интеллект, Транспорт, Урбанизм, IT-компании] ИИ от Ford будет повышать культуру езды на электросамокатах
- GitHub устранил уязвимость, приводившую к подмене сеанса пользователя
- [Программирование, Облачные сервисы, IT-компании] Обладательница фамилии True полгода не может воспользоваться своим аккаунтом в Apple iCloud
- [Исследования и прогнозы в IT, Монетизация веб-сервисов, IT-компании] За прошлый год рекордно выросли доходы российских онлайн-кинотеатров
- [Информационная безопасность, Open source, Сетевые технологии, Mesh-сети] Криптографическое образование адреса IPv6 в Yggdrasil
- [Программирование, Разработка под MacOS, Софт, IT-компании] Вышла стабильная сборка Visual Studio Code 1.54 с нативной поддержкой Apple Silicon М1 с ARM-архитектурой
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_github, #_itkompanii (IT-компании), #_github, #_sbros_sessij (сброс сессий), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_github, #_itkompanii (
IT-компании
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 08:59
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 8 марта 2021 года веб-сервис для хостинга IT-проектов и их совместной разработки GitHub сообщил об устранении потенциально серьезной уязвимости безопасности, связанной с обработкой аутентифицированных сессий. Из-за этой ошибки малая часть аутентифицированных пользователей (0.001%) могла получить доступ к чужому сеансу. Для полного закрытия проблемы и в качестве предосторожности сервису понадобилось провести сброс всех пользовательских сеансов к GitHub.com, которые были созданы до 12:03 UTC 8 марта. Разработчикам необходимо заново переподключиться к GitHub. GitHub пояснил, что 2 марта сотрудники сервиса получили информацию из внешних источников об аномальном поведении аутентифицированного пользовательского сеанса на GitHub.com. Анализ этих данных, выполненный группой безопасности и разработки GitHub, помог определить основную причину возникновения проблемы и уровень ее распространение. 5 марта GitHub предпринял первоначальные корректирующие действия для исправления обнаруженной уязвимости, 8 марта сервиса применил второй патч в своей системе, который устранил ошибку. Для окончательного применения обновления сервис аннулировал все сеансы пользователей, чтобы избежать даже отдаленной возможности того, что не обнаруженные и скомпрометированные сеансы все еще могут существовать после исправления уязвимости. Сервис предоставил небольшой группе аккаунтов, которые по данным GitHub были затронуты этой проблемой, всю нужную информацию о возникшем ситуации и рекомендации по необходимым действиям. Расследование специалистов GitHub показало, что в очень редких случаях состояние гонки в процессе обработки внутренних запросов на сервере могло привести к неправильному перенаправлению сеанса пользователя в браузер другого аутентифицированного пользователя, предоставив ему действительный и аутентифицированный файл cookie сеанса для другого пользователя. Эта ошибка существовала на GitHub.com с 8 февраля 2021 года по 5 марта 2021 года. GitHub отметил, что эта проблема не была результатом взлома паролей учетных записей, утечки ключей SSH или токенов личного доступа (PAT). Также у сервиса нет никаких свидетельств того, что это было результатом компрометации каких-либо других систем GitHub. Вместо этого эта проблема была связана с редкой и изолированной неправильной обработкой аутентифицированных сеансов. Кроме того, эта ошибка не могла быть намеренно вызвана или использована злоумышленниками. У GitHub нет никаких указаний на то, что эта проблема затронула другие свойства или продукты GitHub.com, включая GitHub Enterprise Server. По оценке сервиса, неправильная маршрутизация сеанса произошла менее чем у 0,001% от всех аутентифицированных сеансов на GitHub.com. 15 декабря 2020 года GitHub предупредил всех пользователей о плановом переходе на токены и SSH-ключи при доступе к Git. Доступ только по паролям к Git будет заблокирован с 13 августа 2021 года. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_github, #_itkompanii ( IT-компании ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 08:59
Часовой пояс: UTC + 5