ニュース
“github.com”にセキュリティ問題、ユーザーの強制ログアウトを実施
ごく一部のアカウントで認証Cookieを取り違え。アカウントのパスワードなどには影響せず
2021年3月9日 17:00
米GitHubは3月8日(現地時間、以下同)、“github.com”でセキュリティ問題が発見されたと発表した。影響を受けるセッションはごく少数で、非常にまれなケースではあるものの、深刻な問題につながりかねないとして、念のため3月8日12時3分(協定世界時)以前に作成された認証済みセッションをすべて無効化する(ユーザーをログアウトさせる)処置をとったという。
同社によると、“github.com”のログインセッションで異常な動作が報告されたのは3月2日のこと。これをうけ、問題の根本原因と影響範囲を把握するため、セキュリティチームによる調査が直ちに開始されたという。
問題があったのはバックエンドのリクエスト処理プロセスで、競合状態により他のユーザーの有効な認証済みセッションCookieが与えられてしまうことがあったという。この現象は2021年2月8日から2021年3月5日までにかけて発生しうる状態にあったが、あくまでも意図しない不具合であり、悪意のあるユーザーによって故意に引き起こされたものではない。発生したのは“github.com”で認証されたセッションの0.001%未満で、アカウントのパスワードやSSH鍵、アクセストークンに漏洩はなかった。
同社は、3月5日に修正パッチを適用。3月8日にはこの種の不具合からアプリケーションを保護するための追加策を実施するため、2回目のパッチを展開したとのこと。加えて、既存の認証済みセッションを念のためすべて無効化した。ログイン中のユーザーは今すぐいったんログアウトすることが推奨されている。MFA(多要素認証)を完了できずにアカウントがロックアウトしてしまった場合は、リカバリー手順を記したドキュメントを参照してほしいとしている
なお、問題の影響を受けたことが判明しているごく少数のアカウントに対しては、追加情報とガイダンスの提供を行っているとのこと。一般向けの情報公開も、後日行われるようだ。