ClickCease Mastodon corrige una vulnerabilidad crítica

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Mastodon corrige una vulnerabilidad crítica

21 de julio de 2023 - Equipo de RRPP de TuxCare

Los responsables del software de código abierto que hace funcionar la red social Mastodon han publicado una actualización de seguridad que corrige una vulnerabilidad crítica que podría haber permitido a los piratas informáticos acceder por la puerta trasera a los servidores que envían contenidos a los usuarios individuales.

Mastodon funciona con un modelo federado, compuesto por numerosos servidores independientes conocidos como "instancias". Cuenta con más de 12.000 instancias y 14,5 millones de usuarios. Los usuarios individuales crean cuentas en instancias específicas, lo que permite el intercambio de contenidos entre usuarios de distintas instancias.

La vulnerabilidad, rastreada como CVE-2023-36460, era una de las dos vulnerabilidades críticas que se corregían en la actualización. La otra vulnerabilidad crítica fue rastreada como CVE-2023-36459.

CVE-2023-36460, clasificado como un defecto de "creación arbitraria de archivos a través de archivos multimedia adjuntos" permite a los atacantes explotar mediante el uso de archivos multimedia especialmente diseñados, desencadenando el código de procesamiento de medios de Mastodon para crear archivos en cualquier ubicación. Como resultado, los atacantes obtienen la capacidad de sobrescribir cualquier archivo accesible a Mastodon, lo que potencialmente conduce a ataques de denegación de servicio y ejecución remota de código arbitrario.

El investigador de seguridad independiente Kevin Beaumont bautizó este fallo como #TootRoot, haciendo hincapié en el peligro de que los hackers adquieran acceso root. Aunque todavía no se ha descubierto ninguna explotación, el parche se desarrolló como consecuencia de las pruebas de penetración apoyadas por la Fundación Mozilla y llevadas a cabo por Cure53. El equipo interno de Mastodon también contribuyó al desarrollo de las mejoras necesarias.

CVE-2023-36459 es un fallo de "XSS a través de tarjetas de vista previa de oEmbed". Esto significa que un atacante podría crear enlaces oEmbed maliciosos que, al hacer clic, podrían inyectar código malicioso en el navegador de un usuario. Este código malicioso podría entonces ser utilizado para robar la información personal del usuario o para tomar el control de su cuenta.

Las otras tres vulnerabilidades corregidas en la actualización fueron calificadas de gravedad alta o media. Abarcaban una vulnerabilidad de "Inyección LDAP ciega en el inicio de sesión" que permite a los atacantes extraer atributos arbitrarios de la base de datos LDAP, una "Denegación de servicio mediante respuestas HTTP lentas" y "Enlaces de perfil verificados" que pueden tener un formato engañoso.

Las fuentes de este artículo incluyen un artículo en ArsTechnica.

Resumen
Mastodon corrige una vulnerabilidad crítica
Nombre del artículo
Mastodon corrige una vulnerabilidad crítica
Descripción
Los responsables del software de código abierto Mastodon han publicado una actualización de seguridad que corrige una vulnerabilidad crítica.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín