小说排行榜完结版,yy玄幻小说排行榜完本

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

GitHub修復(fù)了導(dǎo)致用戶登錄其他賬戶的錯(cuò)誤

昨天，GitHub 通過(guò)使 GitHub.com 網(wǎng)站會(huì)話無(wú)效化的方式自動(dòng)登出了許多用戶的賬號(hào)，以保護(hù)用戶賬戶免受潛在的嚴(yán)重安全漏洞影響。

站在用戶的角度思考問(wèn)題，與客戶深入溝通，找到龍陵網(wǎng)站設(shè)計(jì)與龍陵網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗(yàn)，讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個(gè)性化、用戶體驗(yàn)好的作品，建站類型包括：網(wǎng)站設(shè)計(jì)制作、做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、空間域名、網(wǎng)頁(yè)空間、企業(yè)郵箱。業(yè)務(wù)覆蓋龍陵地區(qū)。

在本月早些時(shí)候，GitHub 就收到一份來(lái)自外部的異常行為報(bào)告。異常行為源于一個(gè)罕見(jiàn)的競(jìng)爭(zhēng)條件(race condition)漏洞，即 GitHub 用戶的登錄會(huì)話會(huì)被誤傳到另一個(gè)已登錄用戶的 Web 瀏覽器上，使后者獲得了前一個(gè)用戶賬戶的認(rèn)證會(huì)話 cookie 并獲得訪問(wèn)權(quán)限。

GitHub 因 bug 登出用戶賬號(hào)

從昨天起，GitHub 陸續(xù)登出了所有在 UTC 時(shí)間 3 月 8 日 12:03 分之前登錄的用戶賬號(hào)。

這一步驟是在該公司在收到了來(lái)自外部關(guān)于 GitHub.com 可疑行為的初步報(bào)告后近一周時(shí)間才采取的。

Github 在安全公告中寫(xiě)道："3月2日，GitHub 收到外部報(bào)告，稱其認(rèn)證的網(wǎng)站用戶會(huì)話存在異常行為。收到報(bào)告后，GitHub 安全和工程部立即開(kāi)始調(diào)查，以了解這個(gè)問(wèn)題在 GitHub.com 網(wǎng)站上出現(xiàn)的根本原因、影響和普遍性"。

3月5日星期五，GitHub 團(tuán)隊(duì)對(duì)該安全漏洞進(jìn)行了修復(fù)，并在周末繼續(xù)進(jìn)行分析。此外，昨天將所有會(huì)話無(wú)效化是修補(bǔ)該漏洞的最后一步。

根據(jù) GitHub 的說(shuō)法，該漏洞可能會(huì)在極其罕見(jiàn)的情況下被利用，即在后臺(tái)請(qǐng)求處理過(guò)程中出現(xiàn)競(jìng)爭(zhēng)條件。在這種情況下，一個(gè)已登錄的 GitHub 用戶的會(huì)話 cookie 會(huì)被發(fā)送到另一個(gè)用戶的瀏覽器中，使后者能夠訪問(wèn)前者的賬戶。

GitHub 首席安全官 Mike Hanley 表示："需要注意的是，這個(gè)問(wèn)題并不是用戶賬戶密碼、SSH 密鑰或個(gè)人訪問(wèn)令牌(PAT)泄露所導(dǎo)致的結(jié)果，同時(shí)也沒(méi)有證據(jù)表明這些信息曾從 GitHub 系統(tǒng)中所泄露。相反，這個(gè)問(wèn)題是由于罕見(jiàn)的、孤立的對(duì)認(rèn)證會(huì)話的不當(dāng)處理所造成的。此外，這個(gè)問(wèn)題也不是由惡意用戶故意觸發(fā)或定向所引起的"。

受影響的認(rèn)證會(huì)話占比不到 0.001%。

GitHub 表示，網(wǎng)站上的底層 bug 累計(jì)存在了不到兩周的時(shí)間。在找到初步原因后，他們?cè)?3 月 5 日就修復(fù)了該問(wèn)題，并在 3 月 8 日發(fā)布了第二個(gè)補(bǔ)丁，以進(jìn)一步加強(qiáng)網(wǎng)站的安全性。

這就是導(dǎo)致網(wǎng)站在 UTC 時(shí)間 3 月 8 日中午將所有活躍的登錄會(huì)話無(wú)效化的原因。

沒(méi)有證據(jù)表明 GitHub 的其他資產(chǎn)或產(chǎn)品(如 GitHub 企業(yè)服務(wù)器)因這一錯(cuò)誤而受到影響。

Hanley 在公告中說(shuō)道："我們認(rèn)為，這個(gè)會(huì)話的不當(dāng)處理發(fā)生在網(wǎng)站上不到 0.001% 的已認(rèn)證會(huì)話中"。

雖然我們外部人員無(wú)法確認(rèn)這個(gè) bug 的具體影響范圍，但考慮到 GitHub 在一個(gè)月內(nèi)有超過(guò) 3200 萬(wàn)的活躍訪客(無(wú)論是否經(jīng)過(guò)認(rèn)證)，0.001% 的認(rèn)證會(huì)話也意味著可能超過(guò)數(shù)萬(wàn)個(gè)賬戶受到影響。

此外，Github 還沒(méi)有對(duì)是否有任何項(xiàng)目倉(cāng)庫(kù)或源代碼因?yàn)檫@個(gè)漏洞被惡意篡改等問(wèn)題做出回應(yīng)。像這樣的漏洞如果被不法分子利用，就會(huì)為秘密的軟件供應(yīng)鏈攻擊鋪平道路。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：GitHub 修復(fù)了導(dǎo)致用戶登錄其他賬戶的錯(cuò)誤

本文地址：https://www.oschina.net/news/132506/github-fixes-bug-causing-users-to-log-into-other-accounts

分享標(biāo)題：GitHub修復(fù)了導(dǎo)致用戶登錄其他賬戶的錯(cuò)誤
新聞來(lái)源：http://m.fisionsoft.com.cn/article/ccdpogo.html

新聞中心

其他資訊