Eleştirmenler Mastodon “TootRoot” Güvenlik Açığı Sunucunun Ele Geçirilmesine İzin Veriyor


Eleştirmenler Mastodon “TootRoot” Güvenlik Açığı Sunucunun Ele Geçirilmesine İzin Veriyor

Mastodon, kar amacı gütmeyen, açık kaynaklı, kendi kendine barındırılan bir sosyal ağ hizmeti şirketidir. Platform, çok daha fazla özelliğiyle Twitter’a benzer ve gizlilik odaklıdır.

Dünyanın her yerinden katkıda bulunanlarla birleşik bir model olarak çalışır ve deposu GitHub’a dayanır.

CSN

Mastodon, 2016 yılında yaratıcısı Eugen Rochko tarafından piyasaya sürüldü. Ancak, ancak 2022’de Twitter’ın Elon Musk tarafından satın alınmasından sonra aşırı popülerlik kazandı. Platformun, yaratıcısının açıkladığı gibi 1,8 milyon aktif kullanıcısı var.

Resim: Eugen Rochko, yaklaşık 1,8 milyon aktif kullanıcı yayınlıyor

Kritik “TootRoot” Güvenlik Açığı

Raporlara göre, Mastodon kısa süre önce platform için potansiyel bir tehdit oluşturan yüksek, orta ve kritik düzeyde beş güvenlik açığını düzeltti. Bunlardan en kritik olanı “diş kökü” tehdit aktörlerinin hazırlanmış medya dosyaları göndererek sunucularda bir arka kapı oluşturabileceği.

Bu ortam dosyaları, ortam işleme kodunun sunucudaki herhangi bir konumda rasgele dosyalar oluşturmasına neden olur. Bu işlevsellik, sunucuda arka kapı görevi gören bir web kabuğu oluşturmak için tehdit aktörleri tarafından kullanılabilir.

Bireysel güvenlik araştırmacısı Kevin Beaumont, bu güvenlik açığını araştırdı ve bu güvenlik açığının önem derecesi hakkında bir gönderi yayınladı. Bu güvenlik açığı, CVE-2023-36460 olarak CVE’ye sahiptir.

Kevin Beaumont, CVE-2023-36460 hakkında

Diğer Güvenlik Açığı Yamaları

Buna ek olarak, aşağıdakileri içeren diğer dört güvenlik açığı yamalandı:

Cure53 ekibi tarafından sızma testi sırasında bunlardan çok azı bulundu. Penetrasyon testi Mozilla tarafından başlatıldı.

Bu güvenlik açıklarının sunucu tarafından düzeltilmesi gerekir, dolayısıyla bireysel kullanıcıların sunucuların en son sürüme yama yapılıp yapılmadığını kontrol etmekten başka yapacakları bir şey yoktur.

Bu güvenlik açıkları, Mastodon’un 3.5.9, 4.0.5 ve 4.1.3 sürümlerinde giderilmiştir.

“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.



Source link