ClickCease Mastodon corrige une vulnérabilité critique

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Mastodon corrige une vulnérabilité critique

21 juillet 2023 - L'équipe de relations publiques de TuxCare

Les responsables du logiciel libre qui alimente le réseau social Mastodon ont publié une mise à jour de sécurité qui corrige une vulnérabilité critique qui aurait pu permettre à des pirates informatiques d'ouvrir une porte dérobée sur les serveurs qui envoient du contenu aux utilisateurs individuels.

Mastodon fonctionne selon un modèle fédéré, composé de nombreux serveurs distincts appelés "instances". Mastodon compte plus de 12 000 instances et 14,5 millions d'utilisateurs. Les utilisateurs individuels créent des comptes sur des instances spécifiques, ce qui permet l'échange de contenu entre les utilisateurs des différentes instances.

La vulnérabilité, répertoriée sous le nom de CVE-2023-36460, est l'une des deux vulnérabilités critiques qui ont été corrigées dans la mise à jour. L'autre vulnérabilité critique était répertoriée sous le nom de CVE-2023-36459.

CVE-2023-36460, classée comme une faille "création de fichiers arbitraires à travers des pièces jointes" permet aux attaquants d'exploiter en utilisant des fichiers média spécialement conçus, déclenchant le code de traitement des médias de Mastodon pour créer des fichiers à n'importe quel endroit. En conséquence, les attaquants ont la possibilité d'écraser n'importe quel fichier accessible à Mastodon, ce qui peut conduire à des attaques par déni de service et à une exécution arbitraire de code à distance.

Kevin Beaumont, chercheur indépendant en sécurité, a baptisé cette faille #TootRoot, soulignant le danger pour les pirates d'obtenir un accès à la racine. Bien qu'aucune exploitation n'ait encore été découverte, le correctif a été développé à la suite de tests de pénétration soutenus par la Fondation Mozilla et réalisés par Cure53. L'équipe interne de Mastodon a également contribué au développement des améliorations nécessaires.

CVE-2023-36459 est une faille "XSS à travers les cartes de prévisualisation oEmbed". Cela signifie qu'un attaquant peut créer des liens oEmbed malveillants qui, lorsqu'ils sont cliqués, peuvent injecter du code malveillant dans le navigateur de l'utilisateur. Ce code malveillant pourrait alors être utilisé pour voler les informations personnelles de l'utilisateur ou pour prendre le contrôle de son compte.

Les trois autres vulnérabilités corrigées dans la mise à jour ont toutes été classées comme étant de gravité élevée ou moyenne. Elles comprennent une vulnérabilité de type "Blind LDAP injection in login" qui permet aux attaquants d'extraire des attributs arbitraires de la base de données LDAP, un "Denial of Service through slow HTTP responses" et des "Verified profile links" qui peuvent être formatés de manière trompeuse.

Les sources de cette pièce comprennent un article d'ArsTechnica.

Résumé
Mastodon corrige une vulnérabilité critique
Nom de l'article
Mastodon corrige une vulnérabilité critique
Description
Les responsables du logiciel open source Mastodon ont publié une mise à jour de sécurité qui corrige une vulnérabilité critique.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information