ClickCease 마스토돈, 치명적인 취약점 수정

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

마스토돈, 치명적인 취약점 수정

2023년 7월 21일 TuxCare 홍보팀

마스토돈 소셜 네트워크를 지원하는 오픈 소스 소프트웨어의 유지 관리자는 해커가 개별 사용자에게 콘텐츠를 푸시하는 서버를 백도어할 수 있는 중대한 취약점을 패치하는 보안 업데이트를 발표했습니다.

마스토돈은 "인스턴스"로 알려진 수많은 개별 서버로 구성된 연합 모델에서 운영됩니다. 12,000개 이상의 인스턴스와 1,450만 명의 사용자를 보유하고 있습니다. 개별 사용자는 특정 인스턴스에서 계정을 생성하여 서로 다른 인스턴스의 사용자 간에 콘텐츠를 교환할 수 있습니다.

CVE-2023-36460으로 추적된 이 취약점은 이번 업데이트에서 수정된 두 가지 중요 취약점 중 하나였습니다. 다른 중요한 취약점은 CVE-2023-36459로 추적되었습니다.

"미디어 첨부 파일을 통한 임의 파일 생성" 결함으로 분류되는 CVE-2023-36460은 공격자가 특수하게 조작된 미디어 파일을 사용하여 마스토돈의 미디어 처리 코드를 트리거하여 임의의 위치에 파일을 생성하는 방식으로 악용할 수 있게 합니다. 그 결과 공격자는 마스토돈에 액세스할 수 있는 모든 파일을 덮어쓸 수 있게 되어 잠재적으로 서비스 거부 공격과 임의의 원격 코드 실행으로 이어질 수 있습니다.

독립 보안 연구원인 케빈 보몬트는 이 결함을 루트 액세스 권한을 획득한 해커의 위험성을 강조하며 #TootRoot라고 명명했습니다. 아직 익스플로잇이 발견되지는 않았지만, 이 패치는 Mozilla 재단이 지원하고 Cure53이 수행한 침투 테스트의 결과로 개발되었습니다. 마스토돈의 내부 팀도 필요한 개선 사항을 개발하는 데 도움을 주었습니다.

CVE-2023-36459는 "oEmbed 미리보기 카드를 통한 XSS" 결함입니다. 즉, 공격자는 클릭 시 악성 코드를 사용자의 브라우저에 삽입할 수 있는 악성 oEmbed 링크를 만들 수 있습니다. 이 악성 코드는 사용자의 개인 정보를 훔치거나 계정을 장악하는 데 사용될 수 있습니다.

업데이트에서 수정된 다른 세 가지 취약점은 모두 심각도가 높거나 중간으로 평가되었습니다. 여기에는 공격자가 LDAP 데이터베이스에서 임의의 속성을 추출할 수 있는 '로그인 시 블라인드 LDAP 인젝션' 취약점, 느린 HTTP 응답을 통한 '서비스 거부' 취약점, 속임수로 포맷할 수 있는 '검증된 프로필 링크' 취약점 등이 포함되었습니다.

이 글의 출처는 ArsTechnica의 기사입니다.

요약
마스토돈, 치명적인 취약점 수정
기사 이름
마스토돈, 치명적인 취약점 수정
설명
마스토돈을 구동하는 오픈 소스 소프트웨어의 유지 관리자가 중요한 취약점을 패치하는 보안 업데이트를 발표했습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기