Mastodon geliştiricilerinin uzaktan istismar edilebilir hesap ele geçirme güvenlik açığı (CVE-2024-23832) için düzeltmeler yayınlamasından beş gün sonra, mevcut Mastodon sunucularının %66’sından fazlası açığı kapatacak şekilde yükseltildi.
Mastodon hakkında
Mastodon, daha geniş Fediverse içerisinde kendi kendine barındırılan sosyal ağ hizmetlerini çalıştırmak için kullanılan açık kaynaklı (sunucu) bir yazılımdır.
Fediverse, ActivityPub sosyal ağ protokolü tarafından desteklenmektedir ve farklı yazılımlarla desteklenen birçok sosyal ağdan oluşur. Diğer sosyal medya ağlarının aksine Fediverse merkezi değildir.
Mastodon kullanıcıları, farklı kişiler veya kuruluşlar tarafından işletilen çeşitli farklı sunucularda (örnekler olarak da bilinir) toplanır ve bu, en son güvenlik güncellemelerinin alınmasını oldukça etkileyici kılar.
CVE-2024-23832 Hakkında
Güvenlik danışma belgesinde kısaca açıklanan CVE-2024-23832, yetersiz kaynak doğrulamasından kaynaklanıyor ve saldırganların “herhangi bir uzak hesabı taklit etmesine ve ele geçirmesine” olanak tanıyor.
“3.5.17’den önceki tüm Mastodon sürümlerinin yanı sıra 4.0.13’ten önceki 4.0.x sürümleri, 4.1.13’ten önceki 4.1.x sürümleri ve 4.2.5’ten önceki 4.2.x sürümleri de güvenlik açığına sahiptir.”
Güvenlik açığı özel olarak bildirildi ve ek teknik ayrıntılar, “yöneticilere güncelleme için biraz zaman verildiğinde, herhangi bir ayrıntının bir açıktan yararlanmanın ortaya çıkmasını çok kolaylaştıracağını düşündüğümüz 15 Şubat’a kadar saklanacak.”
Mastodon sunucu yöneticileri, kritik güvenlik güncellemesinin e-posta yoluyla ve yönetici panelindeki kaçırılamaz istemler yoluyla uygulanmasının gerekliliği konusunda uyarıldı; bu, güvenlik güncellemelerinin tatmin edici bir şekilde alınmasını açıklayabilir.
Bu, Mastodon yazılımında kritik ve kolayca istismar edilebilen bir güvenlik açığının ilk kez düzeltilmesi değil.
Geçen yıl, Alman sızma testi ekibi Cure53 beş güvenlik açığı bildirdi; bunlardan biri (CVE-2023-36460), saldırganların mesajı işleyen örneklerde rastgele (kötü amaçlı) dosyalar oluşturabilecek bir toot (Mastodon gönderisi/mesajı) göndermesine olanak tanıdı. Beş kusurun tümü proje sahipleri tarafından hızla düzeltildi.