«Дыра» в GitHub позволяла получить доступ к чужой сессии на сервисе
Новости
Для решения проблемы компания даже разлогинила всех своих пользователей.
1К открытий1К показов
Пользователи GitHub по всему миру столкнулись со странной ситуаций — зайдя на сервис, они увидели себя разлогиненными. Как оказалось, это было связано с исправлением «дыры» в безопасности сайта.
В официальном блоге GitHub появилась «пояснительная публикация». В ней компания рассказала о обнаруженной проблеме, с помощью которой, в теории, один аутентифицированный пользователь мог получить доступ к чужому сеансу.
Основой уязвимости являлось «состояние гонки при обработке запросов бэкендом». В итоге, из-за ошибки в маршрутизации, сеанс пользователя направлялся в браузер другого пользователя. Это приводило к получению доступа к чужой сессионной cookie.
Специалисты GitHub подсчитали, что с вышеописанная ошибка возникла в примерно 0.001% от всех аутентифицированных сеансов на сайте. Но даже в таком случае это являлось достаточной проблемой, чтобы сбросить вход всех пользователей и исправить уязвимости.
Источник: Блог GitHub
1К открытий1К показов
Шпаргалка по Vim версии 2.5 обновлена с новыми командами, улучшенной визуализацией и поддержкой форматов PDF/PNG для удобства программистов
Исходный код легендарной игры Elite для Commodore 64 опубликован на GitHub: 50 000 строк ассемблера с комментариями и сборками для изучения
В IDE JetBrains обнаружили плагин для GitHub, который имел неприятную дыру в безопасности. Через нее можно было красть учетные данные пользователей
В старых версиях WinRAR нашли уязвимость: можно было запускать вредоносный код без предупреждений Windows — обновитесь до 7.11