昨天,GitHub 通过使 GitHub.com 网站会话无效的方式自动发布多个用户账户,以保护用户账户免受潜在的严重安全漏洞。
本月早些时候,GitHub 收到外部异常行为报告。异常行为源于罕见的竞争条件(race condition)漏洞,即 GitHub 用户的登录会话会被误传到另一个已登录用户的 Web 在浏览器上,后者获得了前一个用户账户的认证 cookie 并获得访问权限。
GitHub 因 bug 用户用户账号
从昨天起,GitHub 发布了所有 UTC 时间 3 月8日 12:03 分前登录的用户账号。
这一步是在公司收到外部关于 GitHub.com 可疑行为初步报告后近一周采用。
Github 在安全公告中写道:"3月2日,GitHub 收到外部报告,称其认证的网站用户异常。收到报告后,GitHub 为了了解这个问题,工程部立即开始调查GitHub.com 网站的根本原因、影响和普遍性"。
3星期五,月五,星期五,GitHub 团队修复了安全漏洞,并在周末继续分析。此外,昨天无效的所有会话是修复漏洞的最后一步。
根据 GitHub 据说,这个漏洞在极其罕见的情况下可能会被利用,即在后台请求处理过程中存在竞争条件。在这种情况下,已登录 GitHub 用户会话 cookie 将被发送到另一个用户的浏览器中,使后者能够访问前者的帐户。
GitHub 首席安全官 Mike Hanley 表示:"需要注意的是,这个问题并不是用户账户密码、SSH (PAT)没有证据表明据表明这些信息来自 GitHub 系统泄漏。相反,这个问题是由于对认证会话的罕见和孤立处理不当造成的。此外,这个问题不是恶意用户故意触发或定位造成的"。
受影响的认证会话不到 0.001%。
GitHub 说网站底层 bug 累计存在不到两周。在找到初步原因后,他们在 3 5 日修复了问题,并在 3 8 发布了第二个补丁,以进一步加强网站的安全。
导致网站在 UTC 时间 3 月 8 日中午,所有活跃的登录会话无效。
没有证据表明GitHub 其他资产或产品(如 GitHub 企业服务器)受到这个错误的影响。
Hanley 在公告中说:"在网站上,我们认为这次会话的不当处理不足 0.001% 已认证会话"。
虽然我们的外部人员无法确认这一点bug 的具体影响范围,但考虑到 GitHub 一个月内有3200多万活跃访客(无论是否认证),0.001% 的认证会话也意味着数万个账户可能会受到影响。
此外,Github 还没有回应任何项目仓库或源代码是否被恶意篡改。如果犯罪分子使用这样的漏洞,将为秘密软件供应链攻击铺平道路。
本文转自OSCHINA
本文标题:GitHub 修复了用户登录其他账户的错误
本文地址:https://www.oschina.net/news/132506/github-fixes-bug-causing-users-to-log-into-other-accounts