Mastodon Güvenlik Açığı, Bilgisayar Korsanlarının Merkezi Olmayan Hesapları Ele Geçirmesine Olanak Sağlıyor


03 Şubat 2024Haber odasıGüvenlik Açığı / Sosyal Medya

Mastodon Güvenlik Açığı

Merkezi olmayan sosyal ağ Mastodon, kötü niyetli aktörlerin herhangi bir hesabı taklit etmesine ve ele geçirmesine olanak tanıyan kritik bir güvenlik açığını ortaya çıkardı.

Bakımcılar kısa bir tavsiyede, “Tüm Mastodon’daki yetersiz menşe doğrulaması nedeniyle, saldırganlar herhangi bir uzak hesabın kimliğine bürünebilir ve ele geçirebilir” dedi.

Şu şekilde izlenen güvenlik açığı: CVE-2024-23832maksimum 10 üzerinden 9,4 önem derecesine sahiptir. Güvenlik araştırmacısı arcanicanis’in bunu keşfetmesi ve rapor etmesiyle itibar kazanmıştır.

Bu, genellikle bir saldırganın “kaynağa yanlışlıkla erişilebilen herhangi bir işlevselliğe erişmesine” olanak tanıyan bir “kaynak doğrulama hatası” (CWE-346) olarak tanımlanmıştır.

3.5.17’den önceki her Mastodon sürümü, 4.0.13’ten önceki 4.0.x sürümleri, 4.1.13’ten önceki 4.1.x sürümleri ve 4.2.5’ten önceki 4.2.x sürümleri gibi güvenlik açığına sahiptir.

Mastodon, yöneticilere sunucu örneklerini güncellemek ve istismar olasılığını önlemek için yeterli zaman vermek amacıyla kusurla ilgili ek teknik ayrıntıları 15 Şubat 2024’e kadar sakladığını söyledi.

Siber güvenlik

“Herhangi bir miktarda ayrıntı, bir istismarın ortaya çıkmasını çok kolaylaştıracaktır” dedi.

Platformun birleşik yapısı, yerel olarak uygulanan kendi kurallarını ve düzenlemelerini oluşturan ilgili yöneticiler tarafından bağımsız olarak barındırılan ve işletilen ayrı sunucularda (örnek olarak da bilinir) çalıştığı anlamına gelir.

Bu aynı zamanda her bulut sunucusunun benzersiz bir davranış kurallarına, hizmet şartlarına, gizlilik politikasına ve içerik denetleme yönergelerine sahip olduğu anlamına gelmez; aynı zamanda her yöneticinin, bulut sunucularını potansiyel risklere karşı güvence altına almak için güvenlik güncellemelerini zamanında uygulamasını gerektirir.

Açıklama, Mastodon’un rakipler tarafından hizmet reddine (DoS) neden olmak veya uzaktan kod yürütmek için silah haline getirilebilecek diğer iki kritik kusuru (CVE-2023-36460 ve 2023-36459) ele almasından yaklaşık yedi ay sonra geldi.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link