GitHub liet gebruikers door bug op andere accounts inloggen

[Captain Kirk]

Een beveiligingslek op GitHub, een populair platform voor softwareontwikkelaars, heeft ervoor gezorgd dat gebruikers op de accounts van andere gebruikers konden inloggen. Volgens GitHub ging het om een 'race condition' in de backend die ervoor zorgde dat gebruikers in zeer zeldzame gevallen een geldig en geauthenticeerd sessiecookie van een andere gebruiker kregen.

Het platform stelt dat het probleem niet is veroorzaakt door gecompromitteerde wachtwoorden, SSH-keys of persoonlijke access tokens. Ook is er geen bewijs gevonden dat de situatie werd veroorzaakt door gecompromitteerde GitHub-systemen. "Het probleem was het gevolg van het onjuist verwerken van geauthenticeerde sessies", zegt Mike Hanley van GitHub.

De bug waardoor een sessiecookie bij de verkeerde gebruiker terechtkwam kon niet opzettelijk door een aanvaller worden veroorzaakt, merkt Hanley op. In totaal was de bug een kleine twee weken tussen 8 februari en 5 maart van dit jaar op GitHub aanwezig. Na ontdekking van de oorzaak werd op 5 maart een patch uitgerold, gevolgd door een tweede patch op 8 maart die aanvullende bescherming tegen dergelijke bugs moet bieden.

Hanley stelt dat minder dan 0,001 procent van de geauthenticeerde sessies op GitHub.com door de bug is getroffen. Uit voorzorg heeft GitHub besloten om alle sessies op GitHub.com die voor 8 maart waren gecreëerd ongeldig te maken. Gebruikers van getroffen accounts zijn door GiHub ingelicht en voorzien van verdere informatie en adviezen. Binnenkort zegt GitHub met een uitgebreidere analyse van de oorzaak te zullen komen.

 

bron: https://www.security.nl