Merkezi olmayan popüler bir sosyal ağ olan Mastodon, milyonlarca kullanıcıyı potansiyel saldırılara maruz bırakabilecek kritik güvenlik açıklarını gidermek için bir güvenlik güncellemesi yayınladı.
Mastodon, “örnek” adı verilen binlerce ayrı sunucudan oluşan birleştirilmiş modeliyle tanınır ve 20.000’den fazla örnekte 14 milyondan fazla kullanıcıya sahiptir.
En kritik güvenlik açığı olan CVE-2023-36460, bilgisayar korsanlarının medya ekleri özelliğindeki bir kusurdan yararlanarak yazılımın bir bulut sunucusunda erişebileceği herhangi bir konumda dosya oluşturmasına ve dosyaların üzerine yazmasına olanak tanır.
Bu yazılım güvenlik açığı, DoS ve rastgele uzaktan kod yürütme saldırıları için kullanılabilir ve kullanıcılar ve daha geniş İnternet ekosistemi için önemli bir tehdit oluşturur.
Saldırgan birden çok örnek üzerinde denetim ele geçirirse, kullanıcılara kötü amaçlı uygulamaları indirme talimatı vererek zarar verebilir ve hatta tüm Mastodon altyapısını çökertebilir. Neyse ki, şu ana kadar bu güvenlik açığından yararlanıldığına dair bir kanıt yok.
Kritik kusur, Mozilla Vakfı tarafından finanse edilen ve Cure53 tarafından yürütülen kapsamlı bir sızma testi girişiminin parçası olarak keşfedildi.
Son yama sürümü, CVE-2023-36459 olarak izlenen başka bir kritik sorun da dahil olmak üzere beş güvenlik açığını ele aldı. Bu güvenlik açığı, saldırganların Mastodon’un HTML temizleme sürecini atlayarak oEmbed önizleme kartlarına rasgele HTML eklemesine olanak verebilir.
Sonuç olarak bu, kullanıcılar kötü amaçlı bağlantılarla ilişkili önizleme kartlarına tıkladığında kötü amaçlı kod yürütebilen Siteler Arası Komut Dosyası Çalıştırma (XSS) yükleri için bir vektörü tanıttı.
🔐 Ayrıcalıklı Erişim Yönetimi: Önemli Zorlukların Üstesinden Gelmeyi Öğrenin
Ayrıcalıklı Hesap Yönetimi (PAM) zorluklarını aşmak ve ayrıcalıklı erişim güvenliği stratejinizi yükseltmek için farklı yaklaşımları keşfedin.
Yerinizi Ayırın
Kalan üç güvenlik açığı, yüksek ve orta şiddette olarak sınıflandırıldı. Saldırganların LDAP veritabanından rasgele öznitelikler çıkarmasına izin veren “Giriş sırasında kör LDAP enjeksiyonu”, “Yavaş HTTP yanıtları yoluyla Hizmet Reddi” ve “Doğrulanmış profil bağlantıları” ile ilgili bir biçimlendirme sorunu da bunlar arasında yer alıyor. Bu kusurların her biri, Mastodon kullanıcıları için farklı düzeylerde risk oluşturuyordu.
Mastodon kullanıcılarının kendilerini korumak için yalnızca abone oldukları bulut sunucularının gerekli güncellemeleri derhal yüklediğinden emin olmaları gerekir.