Mastodon, популярна децентрализирана социална мрежа, пусна актуализация на сигурността, за да отстрани критични уязвимости, които могат да изложат милиони потребители на потенциални атаки.
Mastodon е известна със своя федеративен модел, състоящ се от хиляди отделни сървъри, наречени „инстанции“, и има над 14 милиона потребители в повече от 20 000 инстанции.
Най-критичната уязвимост, CVE-2023-36460, позволява на хакерите да се възползват от недостатък във функцията за прикачване на мултимедийни файлове, като създават и презаписват файлове на всяко място, до което софтуерът има достъп в дадена инстанция.
Тази уязвимост на софтуера може да бъде използвана за DoS и произволни атаки с отдалечено изпълнение на код, което представлява значителна заплаха за потребителите и за по-широката интернет екосистема.
Ако атакуващият получи контрол над множество инстанции, той може да причини вреда, като инструктира потребителите да изтеглят злонамерени приложения или дори да срине цялата инфраструктура на Mastodon. За щастие, досега няма данни тази уязвимост да е била използвана.
Критичният недостатък е открит в рамките на цялостна инициатива за тестване за проникване, финансирана от фондация Mozilla и проведена от Cure53.
В неотдавнашното издание на кръпката са отстранени пет уязвимости, включително друг критичен проблем, проследен като CVE-2023-36459. Тази уязвимост би могла да позволи на нападателите да инжектират произволен HTML в картите за преглед на oEmbed, заобикаляйки процеса за обработка на HTML на Mastodon.
Вследствие на това се появява вектор за полезни товари от типа XSS (Cross-Site Scripting), които могат да изпълнят зловреден код, когато потребителите щракнат върху карти за предварителен преглед, свързани със злонамерени връзки.
Останалите три уязвимости бяха класифицирани като такива с висока и средна степен на опасност. Те включваха „Blind LDAP injection in login“ (Сляпо инжектиране на LDAP при влизане), което позволяваше на нападателите да извличат произволни атрибути от базата данни LDAP, „Denial of Service (Отказ от обслужване) чрез бавни HTTP отговори“ и проблем с форматирането на „Verified profile links“ (Проверени връзки към профила). Всеки от тези недостатъци представляваше различно ниво на риск за потребителите на Mastodon.
За да се защитят, потребителите на Mastodon трябва само да се уверят, че абонираната им инстанция е инсталирала своевременно необходимите актуализации.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.