为什么我退出了GitHub.com?

在3月8日晚上，我们将在3月8日UTC 12:03之前创建的GitHub.com上的所有认证会话无效，以保护用户免受一个极其罕见但可能很严重的安全漏洞的影响，这个漏洞影响到非常少的GitHub.com会话。

3月2日，GitHub收到了一个外部报告，称他们的GitHub.com用户会话存在异常行为。在收到报告后，GitHub安全和工程部门立即开始调查，了解GitHub上这个问题的根本原因、影响和流行程度。我们在3月5日采取了初步的纠正措施来修补漏洞，并在整个周末继续我们的分析。

解决bug和会话失效的补丁解决了这个问题，您可以在任何时候重新登录。

发生了什么事，我们采取了什么行动?

在极其罕见的情况下，后端请求处理过程中的竞争条件可能会将用户的会话错误路由到另一个经过身份验证的用户的浏览器，从而给他们提供另一个用户的有效且经过身份验证的会话cookie。需要注意的是，这个问题不是由账户密码、SSH密钥或个人访问令牌(pat)泄露造成的，也没有证据表明这是任何其他GitHub系统泄露的结果。相反，这个问题是由于对经过身份验证的会话的罕见且孤立的不当处理造成的。此外，这个问题不能被恶意用户故意触发或引导。

GitHub.com上的潜在漏洞在2021年2月8日至2021年3月5日之间的不同时间累计存在不到两周的时间。一旦发现了根本原因并开发了修复程序，我们立即在3月5日修复了GitHub.com。3月8日部署了第二个补丁，实施了额外的措施，以进一步强化我们的应用程序，避免出现这种类型的bug。没有迹象表明其他GitHub属性或产品受到此问题的影响，包括GitHub企业服务器。万博足球竞猜app我们认为，本次会议误路由发生在不到0.001%GitHub.com的认证会话。

出于谨慎的考虑，以及对帐户安全的强烈偏好，我们已经将3月8日12:03 UTC之前创建的GitHub.com上的所有会话失效，以避免补丁后未被检测到的已损坏会话仍然存在的远程可能性。对于极少数受此影响的用户，我们提供了更多的信息和指导。

你能做什么

我们建议您现在重新登录。一般来说，我们鼓励遵循我们长期发布的安全最佳实践用户和组织。

如果您在重新登录时由于无法完成MFA挑战而遭遇帐户锁定，请参阅我们的帐户恢复过程。

平台的安全性和可信赖性对GitHub的所有人来说都是至关重要的，我们每天都在努力保护这么多开发者的家园。我们认为，透明度对促进这种信任至关重要，这就是为什么我们现在公开分享这一信息，我们将在未来几周分享我们对这个问题的根本原因分析。