Nieuws
image

Mastodon-servers door middel van kritiek "TootRoot" lek over te nemen

vrijdag 7 juli 2023, 11:48 door Redactie, 7 reacties

Een kritieke kwetsbaarheid met de naam "TootRoot" maakt het mogelijk voor aanvallers om Mastodon-servers over te nemen en vervolgens aanvallen tegen gebruikers van het platform uit te voeren. De impact van het beveiligingslek, aangeduid als CVE-2023-36460, is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. Mastodon heeft een update uitgebracht om het probleem te verhelpen.

"Door middel van speciaal geprepareerde mediabestanden kan een aanvaller de code waarmee Mastodon media verwerkt willekeurige bestanden op elke locatie laten aanmaken. Hierdoor kunnen aanvallers elk bestand waar Mastodon toegang toe heeft overschrijven of creëren, wat kan leiden tot denial of service en het remote uitvoeren van willekeurige code", aldus de beschrijving van het probleem. Mastodon heeft vooralsnog geen verdere details gegeven.

Beveiligingsonderzoeker Kevin Beaumont stelt op Mastodon dat een aanvaller via het lek een statusbericht kan versturen waardoor het mogelijk is voor een aanvaller om een webshell op de Mastodon-server te installeren. Daarmee is het mogelijk om toegang tot de server te behouden en verdere aanvallen uit te voeren. Zo zou het mogelijk zijn om malafide berichten naar gebruikers te sturen dat ze bijvoorbeeld een "update" zouden moeten installeren. Er zouden volgens The Federation meer dan 24.000 Mastodon-servers op internet zijn.

Reacties (7)
07-07-2023, 12:35 door Anoniem
Toch mooi opensource....

Nu maar wachten totdat iedere beheerder die dat, ik ga dit wel zelf decentraal hosten, zijn updates heeft gedraaid.
07-07-2023, 12:58 door Anoniem
Door Anoniem: Toch mooi opensource....

Nu maar wachten totdat iedere beheerder die dat, ik ga dit wel zelf decentraal hosten, zijn updates heeft gedraaid.
Voordeel van decentrale hosting is dan wel weer dat een aanvaller heel veel servers moet aanvallen om alle gebruikers te bereiken.
07-07-2023, 13:06 door Anoniem
Het is gelukkig geen Reddit die zichzelf de nek omdraait door derde partij API's kapot te maken, of Twitter die plotseling enorme besluiten neemt over haar gebruikers of Meta met haar censuurcultuur, of Microsoft die Windows binnenkort volledig in de cloud gaat draaien tegen een maandelijks abonnement zoals bij Netflix.
Open source software va. proprietary software is bijna zoals "good vs. evil".
07-07-2023, 15:01 door Anoniem
Door Anoniem: Het is gelukkig geen Reddit die zichzelf de nek omdraait door derde partij API's kapot te maken, of Twitter die plotseling enorme besluiten neemt over haar gebruikers of Meta met haar censuurcultuur, of Microsoft die Windows binnenkort volledig in de cloud gaat draaien tegen een maandelijks abonnement zoals bij Netflix.
Open source software va. proprietary software is bijna zoals "good vs. evil".
En dit slaat op?
07-07-2023, 15:06 door Anoniem
Door Anoniem: Toch mooi opensource....

Super mooi ja.
07-07-2023, 16:33 door Anoniem
Je zou verwachten dat een service als mastodon niet draait als user root, en ook nog eens met behulp van iets als selinux of policykit beschermd is tegen overschrijven van willekeurige bestanden....
Maar goed, competentie verwachten is wel erg veel gevraagd natuurlijk.
08-07-2023, 00:01 door Anoniem
Door Anoniem: Toch mooi opensource....

Nu maar wachten totdat iedere beheerder die dat, ik ga dit wel zelf decentraal hosten, zijn updates heeft gedraaid.

Afgezien van social media servers van commerciele clubs als facebook/meta, twitter et all is er genoeg commerciele software die zelfs regelmatig geupdate moet worden. Het is dus geen kwestie van "opensource" maar kwestie van degelijkheid van software ontwikkeling voooordat deze live gaat cq verkocht wordt.
En ook bij microsoft, novell in het verleden, oracle et all duurt het in de regel wel even eer zeer kritieke updates overal zijn gedaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure