GitHubによると、認証されたユーザーのセッション処理のセキュリティ問題を解消する為にセキュリティアップデートを実施し、3月8日12:03UTCより以前に作成されたGitHub.comのすべての認証済みセッションを無効にしたと発表しました。

今回セキュリティアップデートの対象となった問題は、バックエンドリクエスト処理プロセスの競合状態によって、ユーザーのセッションが別のユーザーのブラウザにルーティングされてしまい、認証済みのセッションCookieを送信してしまうといったバグがあったとのこと。

The GitHub Blogによると、、

The GitHub Blogにあげられた記事によると、「このバグによって悪意のあるユーザーによって意図的にトリガーまたは指示されることはありません。(this issue could not be intentionally triggered or directed by a malicious user.)」とのこと。

ユーザーは、再度ログインする必要があり、万が一、MFAチャレンジを完了できずアカウントのロックアウトしてしまった場合には、アカウントの回復プロセスを実行して欲しいとしています。

GitHubActionsでのエラーやorganizationにJoinできない問題も

今回のセキュリティアップデートで、GitHub Actionsのワークフローでエラー表示される問題が発生しているとの報告もツイッター上にあげられていましたので、念の為、GitHubにログインし動作確認をしてみました。

organizationにJoinできない

ログイン自体は問題なく、いつもと変わらずログインすることができたのですが、organizationへのアクセスができなくなっていました(´;ω;`)

GitHub organization

しかたがないので、Invitation Mailを送ってもらうことに。。

無事、Joinすることができました!

今日も一日頑張りましょう!