GitHubによると、認証されたユーザーのセッション処理のセキュリティ問題を解消する為にセキュリティアップデートを実施し、3月8日12:03UTCより以前に作成されたGitHub.comのすべての認証済みセッションを無効にしたと発表しました。
Out of abundance of caution to protect our users from an extremely rare security issue affecting a very small number of users we invalidated all authenticated sessions on https://t.co/VDZYKUklba. We encourage you to log back in. Learn more here https://t.co/qyprYfkXgU
— GitHub (@github) March 9, 2021
今回セキュリティアップデートの対象となった問題は、バックエンドリクエスト処理プロセスの競合状態によって、ユーザーのセッションが別のユーザーのブラウザにルーティングされてしまい、認証済みのセッションCookieを送信してしまうといったバグがあったとのこと。
The GitHub Blogによると、、
The GitHub Blogにあげられた記事によると、「このバグによって悪意のあるユーザーによって意図的にトリガーまたは指示されることはありません。(this issue could not be intentionally triggered or directed by a malicious user.)」とのこと。
ユーザーは、再度ログインする必要があり、万が一、MFAチャレンジを完了できずアカウントのロックアウトしてしまった場合には、アカウントの回復プロセスを実行して欲しいとしています。
GitHubActionsでのエラーやorganizationにJoinできない問題も
今回のセキュリティアップデートで、GitHub Actionsのワークフローでエラー表示される問題が発生しているとの報告もツイッター上にあげられていましたので、念の為、GitHubにログインし動作確認をしてみました。
organizationにJoinできない
ログイン自体は問題なく、いつもと変わらずログインすることができたのですが、organizationへのアクセスができなくなっていました(´;ω;`)
しかたがないので、Invitation Mailを送ってもらうことに。。
無事、Joinすることができました!
今日も一日頑張りましょう!
