昨天，GitHub 通過使 GitHub.com 網(wǎng)站會話無效化的方式自動登出了許多用戶的賬號，以保護用戶賬戶免受潛在的嚴重安全漏洞影響。

站在用戶的角度思考問題，與客戶深入溝通，找到龍陵網(wǎng)站設(shè)計與龍陵網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗，讓設(shè)計與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個性化、用戶體驗好的作品，建站類型包括：網(wǎng)站設(shè)計制作、做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣、空間域名、網(wǎng)頁空間、企業(yè)郵箱。業(yè)務(wù)覆蓋龍陵地區(qū)。

在本月早些時候，GitHub 就收到一份來自外部的異常行為報告。異常行為源于一個罕見的競爭條件(race condition)漏洞，即 GitHub 用戶的登錄會話會被誤傳到另一個已登錄用戶的 Web 瀏覽器上，使后者獲得了前一個用戶賬戶的認證會話 cookie 并獲得訪問權(quán)限。

GitHub 因 bug 登出用戶賬號

從昨天起，GitHub 陸續(xù)登出了所有在 UTC 時間 3 月 8 日 12:03 分之前登錄的用戶賬號。

這一步驟是在該公司在收到了來自外部關(guān)于 GitHub.com 可疑行為的初步報告后近一周時間才采取的。

Github 在安全公告中寫道："3月2日，GitHub 收到外部報告，稱其認證的網(wǎng)站用戶會話存在異常行為。收到報告后，GitHub 安全和工程部立即開始調(diào)查，以了解這個問題在 GitHub.com 網(wǎng)站上出現(xiàn)的根本原因、影響和普遍性"。

3月5日星期五，GitHub 團隊對該安全漏洞進行了修復(fù)，并在周末繼續(xù)進行分析。此外，昨天將所有會話無效化是修補該漏洞的最后一步。

根據(jù) GitHub 的說法，該漏洞可能會在極其罕見的情況下被利用，即在后臺請求處理過程中出現(xiàn)競爭條件。在這種情況下，一個已登錄的 GitHub 用戶的會話 cookie 會被發(fā)送到另一個用戶的瀏覽器中，使后者能夠訪問前者的賬戶。

GitHub 首席安全官 Mike Hanley 表示："需要注意的是，這個問題并不是用戶賬戶密碼、SSH 密鑰或個人訪問令牌(PAT)泄露所導(dǎo)致的結(jié)果，同時也沒有證據(jù)表明這些信息曾從 GitHub 系統(tǒng)中所泄露。相反，這個問題是由于罕見的、孤立的對認證會話的不當(dāng)處理所造成的。此外，這個問題也不是由惡意用戶故意觸發(fā)或定向所引起的"。

受影響的認證會話占比不到 0.001%。

GitHub 表示，網(wǎng)站上的底層 bug 累計存在了不到兩周的時間。在找到初步原因后，他們在 3 月 5 日就修復(fù)了該問題，并在 3 月 8 日發(fā)布了第二個補丁，以進一步加強網(wǎng)站的安全性。

這就是導(dǎo)致網(wǎng)站在 UTC 時間 3 月 8 日中午將所有活躍的登錄會話無效化的原因。

沒有證據(jù)表明 GitHub 的其他資產(chǎn)或產(chǎn)品(如 GitHub 企業(yè)服務(wù)器)因這一錯誤而受到影響。

Hanley 在公告中說道："我們認為，這個會話的不當(dāng)處理發(fā)生在網(wǎng)站上不到 0.001% 的已認證會話中"。

雖然我們外部人員無法確認這個 bug 的具體影響范圍，但考慮到 GitHub 在一個月內(nèi)有超過 3200 萬的活躍訪客(無論是否經(jīng)過認證)，0.001% 的認證會話也意味著可能超過數(shù)萬個賬戶受到影響。

此外，Github 還沒有對是否有任何項目倉庫或源代碼因為這個漏洞被惡意篡改等問題做出回應(yīng)。像這樣的漏洞如果被不法分子利用，就會為秘密的軟件供應(yīng)鏈攻擊鋪平道路。

本文轉(zhuǎn)自O(shè)SCHINA

本文標題：GitHub 修復(fù)了導(dǎo)致用戶登錄其他賬戶的錯誤

本文地址：https://www.oschina.net/news/132506/github-fixes-bug-causing-users-to-log-into-other-accounts

網(wǎng)頁題目：GitHub修復(fù)了導(dǎo)致用戶登錄其他賬戶的錯誤
當(dāng)前鏈接：http://uogjgqi.cn/article/ccdpogo.html