3月8日晚,我们将3月8日在12:03 UTC之前创建的Github.com上的所有经过身份验证的会话失效,以保护用户免受极其罕见的,但潜在的严重,安全漏洞影响影响非常小的github.com会议的数量。
3月2日,Github收到了对其经过身份验证的GitHub.com用户会话的异常行为的外部报告。收到报告后,GitHub安全和工程立即开始调查,了解GitHub.com上这个问题的根本原因,影响和普遍性。我们采取了初步的纠正措施来修补3月5日的漏洞,并在整个周末继续进行分析。
解决错误和会话失效的修补程序解决了问题,您可以随时登录。
在极少数情况下,后端请求处理过程中的竞争条件可能会错误地将用户的会话错误排序给另一个经过身份验证的用户的浏览器,向他们提供另一个用户的有效和经过身份验证的会话cookie。值得注意的是,这个问题不是受到妥协的帐户密码,SSH键或个人访问令牌(PATS)的结果,并且没有证据表明这是任何其他Github系统的妥协结果。相反,这个问题是由于罕见和孤立的经过身份验证的会话处理。此外,该问题无法故意触发或由恶意用户指导。
在2021年和3月5日在2021年3月8日之间的不同时间存在于Github.com上存在累积时间不到两周的累积期。一旦确定了根本原因并发达了修复,我们将立即修补GitHub.com 5.将于3月8日部署了第二个补丁,以实施其他措施,以进一步强化从这种类型的错误中的应用程序。没有迹象表明其他Github.com属性或产品受到此问题的影响,包括Github Enterprise Server。我们认为,此会话错误发生在Github.com上的近0.001%的经过身份验证的会话中发生。
出于丰富的谨慎,并强烈偏向于账户安全,我们在3月8日之前在12:03 UTC之前创建的Github.com上的所有会话无效,以避免甚至仍然存在未检测到的损害会话仍然存在漏洞是修补的。对于我们所知道受到此问题的影响的非常小的账户,我们已经涉及额外的信息和指导。
我们建议您现在重新登录。一般来说,我们鼓励我们的长期发布的用户和组织的安全最佳实践。
如果由于无法在登录时无法完成MFA挑战而遇到帐户锁定,请参阅我们的帐户恢复过程。 该平台的安全性和可信度对GitHub的所有人来说至关重要,我们每天都在努力保护家庭,以便这么多开发人员。 我们认为透明度对于推动这种信任至关重要,这就是我们现在分享这一问题的原因,我们将在未来几周内分享我们的根本原因分析。