Přeskočit na obsah

Sociální síť Mastodon opravuje kritické chyby umožňující převzetí serveru

Mastodon, populární decentralizovaná sociální síť, vydala aktualizaci zabezpečení, která opravuje kritické zranitelnosti, které by mohly vystavit miliony uživatelů potenciálním útokům.

Mastodon je známý svým federovaným modelem, který se skládá z tisíců samostatných serverů nazývaných „instance“, a má přes 14 milionů uživatelů ve více než 20 000 instancích.

Nejzávažnější zranitelnost, CVE-2023-36460, umožňuje hackerům zneužít chybu ve funkci příloh médií, vytvářet a přepisovat soubory v jakémkoli umístění, ke kterému má software v instanci přístup.

Tato softwarová zranitelnost by mohla být použita pro útoky DoS a libovolné vzdálené spouštění kódu, což představuje významnou hrozbu pro uživatele a širší internetový ekosystém.

Pokud útočník získá kontrolu nad více instancemi, mohl by způsobit škodu tím, že by dal uživatelům pokyn ke stažení škodlivých aplikací nebo dokonce zničil celou infrastrukturu Mastodon. Naštěstí zatím neexistují žádné důkazy o zneužití této zranitelnosti.

Kritická chyba byla objevena jako součást komplexní iniciativy penetračního testování financované Mozilla Foundation a prováděné Cure53.

Nedávná oprava se zabývala pěti chybami zabezpečení, včetně dalšího kritického problému označeného jako CVE-2023-36459. Tato chyba zabezpečení by mohla útočníkům umožnit vložit libovolný HTML do náhledových karet oEmbed a obejít tak proces dezinfekce HTML společnosti Mastodon.

Zbývající tři zranitelnosti byly klasifikovány jako vysoce a středně závažné. Zahrnovaly „slepou injekci LDAP při přihlášení“, která útočníkům umožňovala extrahovat libovolné atributy z databáze LDAP, „odmítnutí služby prostřednictvím pomalých odpovědí HTTP“ a problém s formátováním s „odkazy na ověřený profil“. Každá z těchto chyb představovala pro uživatele Mastodonu různé úrovně rizika.

Aby se uživatelé Mastodonu chránili, stačí zajistit, aby jejich předplacená instance okamžitě nainstalovala potřebné aktualizace.

Zdroj: thehackernews.com

Zdroj: IT SECURITY NETWORK NEWS 

Zdroj: ICT NETWORK NEWS

Generated by Feedzy