Търсене
Close this search box.

Mastodon закърпва критични недостатъци

Mastodon, популярна децентрализирана социална мрежа, пусна актуализация на сигурността, за да отстрани критични уязвимости, които могат да изложат милиони потребители на потенциални атаки.

Mastodon е известна със своя федеративен модел, състоящ се от хиляди отделни сървъри, наречени „инстанции“, и има над 14 милиона потребители в повече от 20 000 инстанции.

Най-критичната уязвимост, CVE-2023-36460, позволява на хакерите да се възползват от недостатък във функцията за прикачване на мултимедийни файлове, като създават и презаписват файлове на всяко място, до което софтуерът има достъп в дадена инстанция.

Тази уязвимост на софтуера може да бъде използвана за DoS и произволни атаки с отдалечено изпълнение на код, което представлява значителна заплаха за потребителите и за по-широката интернет екосистема.

Ако атакуващият получи контрол над множество инстанции, той може да причини вреда, като инструктира потребителите да изтеглят злонамерени приложения или дори да срине цялата инфраструктура на Mastodon. За щастие, досега няма данни тази уязвимост да е била използвана.

Критичният недостатък е открит в рамките на цялостна инициатива за тестване за проникване, финансирана от фондация Mozilla и проведена от Cure53.

В неотдавнашното издание на кръпката са отстранени пет уязвимости, включително друг критичен проблем, проследен като CVE-2023-36459. Тази уязвимост би могла да позволи на нападателите да инжектират произволен HTML в картите за преглед на oEmbed, заобикаляйки процеса за обработка на HTML на Mastodon.

Вследствие на това се появява вектор за полезни товари от типа XSS (Cross-Site Scripting), които могат да изпълнят зловреден код, когато потребителите щракнат върху карти за предварителен преглед, свързани със злонамерени връзки.

Останалите три уязвимости бяха класифицирани като такива с висока и средна степен на опасност. Те включваха „Blind LDAP injection in login“ (Сляпо инжектиране на LDAP при влизане), което позволяваше на нападателите да извличат произволни атрибути от базата данни LDAP, „Denial of Service (Отказ от обслужване) чрез бавни HTTP отговори“ и проблем с форматирането на „Verified profile links“ (Проверени връзки към профила). Всеки от тези недостатъци представляваше различно ниво на риск за потребителите на Mastodon.

За да се защитят, потребителите на Mastodon трябва само да се уверят, че абонираната им инстанция е инсталирала своевременно необходимите актуализации.

Източник: The Hacker News

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
Бъдете социални
Още по темата
14/02/2024

Deepfake демокрация: Технол...

Неотдавнашните събития, включително генерираното от изкуствен...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!