출처 : https://github.blog/2021-03-08-github-security-update-a-bug-related-to-handling-of-authenticated-sessions/GitHub security update: A bug related to handling of authenticated sessions – The GitHub BlogOn the evening of March 8, we invalidated all authenticated sessions on GitHub.com created prior to 1…The GitHub Blog – Mike Hanley / 2021-03-09
GitHub.com에서 로그 아웃 된 이유는 무엇입니까?
3 월 8 일 저녁, 우리는 극히 드물지만 잠재적으로 심각한 보안 취약점으로부터 사용자를 보호하기 위해 3 월 8 일 12:03 UTC 이전에 생성 된 GitHub.com의 모든 인증 된 세션을 무효화했습니다. GitHub.com 세션 수.
3 월 2 일, GitHub는 인증 된 GitHub.com 사용자 세션에 대한 비정상적인 동작에 대한 외부 보고서를 받았습니다. 보고서를 받으면 GitHub Security and Engineering은 즉시 GitHub.com에서이 문제의 근본 원인, 영향 및 확산을 이해하기 위해 조사를 시작했습니다. 3 월 5 일에 취약점을 패치하기 위해 초기 수정 조치를 취했으며 주말 내내 분석을 계속했습니다.
버그 및 세션 무효화를 해결하기위한 패치가 문제를 해결하며 언제든지 다시 로그인 할 수 있습니다.
무슨 일이 일어나고 어떤 조치를 취했습니까?
극히 드물지만 백엔드 요청 처리 프로세스의 경쟁 조건으로 인해 사용자 세션이 다른 인증 된 사용자의 브라우저로 잘못 라우팅되어 다른 사용자에 대해 유효하고 인증 된 세션 쿠키를 제공 할 수 있습니다. 이 문제는 계정 암호, SSH 키 또는 PAT (개인 액세스 토큰)가 손상된 결과가 아니며 다른 GitHub 시스템의 손상으로 인한 결과라는 증거도 없다는 점에 유의해야합니다. 대신,이 문제는 인증 된 세션의 드물고 고립 된 부적절한 처리로 인해 발생했습니다. 또한이 문제는 악의적 인 사용자가 의도적으로 유발하거나 지시 할 수 없습니다.
근본적인 버그는 GitHub.com에 2021 년 2 월 8 일부터 2021 년 3 월 5 일까지 2 주 미만의 누적 기간 동안 존재했습니다. 근본 원인이 확인되고 수정 사항이 개발되면 3 월에 즉시 GitHub.com을 패치했습니다. 5. 3 월 8 일 두 번째 패치가 배포되어 이러한 유형의 버그로부터 애플리케이션을 더욱 강화하기위한 추가 조치를 구현했습니다. GitHub Enterprise Server를 포함하여 다른 GitHub.com 속성 또는 제품이이 문제의 영향을 받았다는 표시는 없습니다. 이 세션 잘못된 라우팅은 GitHub.com에서 인증 된 세션 중 0.001 % 미만에서 발생했다고 생각합니다 .
많은주의와 계정 보안에 대한 강한 편견으로, 우리는 3 월 8 일 12:03 UTC 이전에 생성 된 GitHub.com의 모든 세션을 무효화하여 발견되지 않은 손상된 세션이 이후에도 계속 존재할 수있는 원격 가능성조차 방지했습니다. 취약점이 패치되었습니다. 이 문제의 영향을받는 것으로 알고있는 매우 적은 수의 계정을 위해 추가 정보와 지침을 제공했습니다.