ClickCease Mastodon behebt kritische Sicherheitslücke

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Mastodon behebt kritische Sicherheitslücke

Juli 21, 2023 - TuxCare PR Team

Die Entwickler der Open-Source-Software, die das soziale Netzwerk Mastodon betreibt, haben ein Sicherheitsupdate veröffentlicht, das eine kritische Schwachstelle behebt, die es Hackern ermöglicht hätte, Server, die Inhalte an einzelne Nutzer weiterleiten, zu umgehen.

Mastodon arbeitet nach einem föderierten Modell, das aus zahlreichen separaten Servern besteht, die als "Instanzen" bezeichnet werden. Mit über 12.000 Instanzen und 14,5 Millionen Nutzern. Einzelne Nutzer erstellen Konten auf bestimmten Instanzen, was den Austausch von Inhalten zwischen Nutzern auf verschiedenen Instanzen ermöglicht.

Die Sicherheitsanfälligkeit mit der Bezeichnung CVE-2023-36460 war eine von zwei kritischen Sicherheitsanfälligkeiten, die mit dem Update behoben wurden. Die andere kritische Sicherheitsanfälligkeit wurde unter der Bezeichnung CVE-2023-36459 geführt.

CVE-2023-36460, klassifiziert als "beliebige Dateierstellung durch Medienanhänge", lässt sich von Angreifern durch speziell gestaltete Mediendateien ausnutzen, indem sie den Medienverarbeitungscode von Mastodon dazu veranlassen, Dateien an einem beliebigen Ort zu erstellen. Dadurch können Angreifer jede für Mastodon zugängliche Datei überschreiben, was zu Denial-of-Service-Angriffen und willkürlicher Remote-Code-Ausführung führen kann.

Der unabhängige Sicherheitsforscher Kevin Beaumont nannte diese Schwachstelle #TootRoot, um auf die Gefahr hinzuweisen, dass sich Hacker Root-Zugriff verschaffen können. Obwohl noch kein Ausnutzen der Schwachstelle entdeckt wurde, wurde der Patch als Ergebnis von Penetrationstests entwickelt, die von der Mozilla Foundation unterstützt und von Cure53 durchgeführt wurden. Das interne Team von Mastodon hat ebenfalls an der Entwicklung der erforderlichen Verbesserungen mitgewirkt.

CVE-2023-36459 ist eine "XSS durch oEmbed-Vorschaukarten"-Schwachstelle. Dies bedeutet, dass ein Angreifer bösartige oEmbed-Links erstellen könnte, die, wenn sie angeklickt werden, bösartigen Code in den Browser eines Benutzers injizieren könnten. Dieser bösartige Code könnte dann verwendet werden, um die persönlichen Daten des Benutzers zu stehlen oder die Kontrolle über sein Konto zu übernehmen.

Die drei anderen Sicherheitslücken, die mit dem Update behoben wurden, wurden alle als hoch oder mittelschwer eingestuft. Sie umfassten eine "Blind LDAP Injection in Login" Schwachstelle, die es Angreifern erlaubt, beliebige Attribute aus der LDAP-Datenbank zu extrahieren, einen "Denial of Service durch langsame HTTP-Antworten" und "Überprüfte Profil-Links", die irreführend formatiert werden können.

Zu den Quellen für diesen Beitrag gehört ein Artikel in ArsTechnica.

Zusammenfassung
Mastodon behebt kritische Sicherheitslücke
Artikel Name
Mastodon behebt kritische Sicherheitslücke
Beschreibung
Die Entwickler der Open-Source-Software Mastodon haben ein Sicherheitsupdate veröffentlicht, mit dem eine kritische Sicherheitslücke geschlossen wird.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter