Share This
Связаться со мной
Крути в низ
Categories
//GitHub разлогинил всех пользователей из-за опасений о безопасности

GitHub разлогинил всех пользователей из-за опасений о безопасности

09.03.2021Category : My Habr

github razloginil vseh polzovatelej iz za opasenij o bezopasnosti a763d03 - GitHub разлогинил всех пользователей из-за опасений о безопасности

8 марта 2021 года веб-сервис для хостинга IT-проектов и их совместной разработки GitHub сообщил об устранении потенциально серьезной уязвимости безопасности, связанной с обработкой аутентифицированных сессий. Из-за этой ошибки малая часть аутентифицированных пользователей (0.001%) могла получить доступ к чужому сеансу. Для полного закрытия проблемы и в качестве предосторожности сервису понадобилось провести сброс всех пользовательских сеансов к GitHub.com, которые были созданы до 12:03 UTC 8 марта. Разработчикам необходимо заново переподключиться к GitHub.

GitHub пояснил, что 2 марта сотрудники сервиса получили информацию из внешних источников об аномальном поведении аутентифицированного пользовательского сеанса на GitHub.com. Анализ этих данных, выполненный группой безопасности и разработки GitHub, помог определить основную причину возникновения проблемы и уровень ее распространение. 5 марта GitHub предпринял первоначальные корректирующие действия для исправления обнаруженной уязвимости, 8 марта сервиса применил второй патч в своей системе, который устранил ошибку. Для окончательного применения обновления сервис аннулировал все сеансы пользователей, чтобы избежать даже отдаленной возможности того, что не обнаруженные и скомпрометированные сеансы все еще могут существовать после исправления уязвимости.

Сервис предоставил небольшой группе аккаунтов, которые по данным GitHub были затронуты этой проблемой, всю нужную информацию о возникшем ситуации и рекомендации по необходимым действиям.

Расследование специалистов GitHub показало, что в очень редких случаях состояние гонки в процессе обработки внутренних запросов на сервере могло привести к неправильному перенаправлению сеанса пользователя в браузер другого аутентифицированного пользователя, предоставив ему действительный и аутентифицированный файл cookie сеанса для другого пользователя. Эта ошибка существовала на GitHub.com с 8 февраля 2021 года по 5 марта 2021 года.

GitHub отметил, что эта проблема не была результатом взлома паролей учетных записей, утечки ключей SSH или токенов личного доступа (PAT). Также у сервиса нет никаких свидетельств того, что это было результатом компрометации каких-либо других систем GitHub. Вместо этого эта проблема была связана с редкой и изолированной неправильной обработкой аутентифицированных сеансов. Кроме того, эта ошибка не могла быть намеренно вызвана или использована злоумышленниками. У GitHub нет никаких указаний на то, что эта проблема затронула другие свойства или продукты GitHub.com, включая GitHub Enterprise Server. По оценке сервиса, неправильная маршрутизация сеанса произошла менее чем у 0,001% от всех аутентифицированных сеансов на GitHub.com.

15 декабря 2020 года GitHub предупредил всех пользователей о плановом переходе на токены и SSH-ключи при доступе к Git. Доступ только по паролям к Git будет заблокирован с 13 августа 2021 года.

  • 2 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Свежие комментарии

    Рубрики

    About Author 01.

    Roman Spiridonov
    Roman Spiridonov

    Привет ! Мне 38 лет, я работаю в области информационных технологий более 4 лет. Тут собрано самое интересное.

    Our Instagram 04.

    Categories 05.

    © Speccy 2020 / All rights reserved

    Связаться со мной
    Close