image

Mastodon-accounts via kritieke kwetsbaarheid op afstand over te nemen

zondag 4 februari 2024, 07:03 door Redactie, 2 reacties

Een kritieke kwetsbaarheid maakt het mogelijk om Mastodon-accounts op afstand over te nemen. Een beveiligingsupdate om het probleem te verhelpen is uitgebracht. "Door onvoldoende origin validatie in Mastodon, kunnen aanvallers elk remote account imiteren en overnemen", aldus de security-advisory van het beveiligingslek, aangeduid als CVE-2024-23832.

Het probleem, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9,4, is aanwezig in elke Mastodon-versie tot 3.5.17, alsmede 4.0.x-versies tot 4.0.13, 4.1.x-versies tot 4.1.13 en 4.2.x-versies tot 4.2.5. Verdere details worden op 15 februari openbaar gemaakt, zodat beheerders de tijd krijgen om updates uit te rollen. Volgens Mastodon zal elk verder detail het zeer eenvoudig maken om een exploit te ontwikkelen en aanvallen uit te voeren. Mastodon is een gedecentraliseerd sociaal netwerk dat op individueel beheerde servers draait, wat inhoudt dat beheerders zelf verantwoordelijk zijn voor het up-to-date houden van hun server.

Reacties (2)
05-02-2024, 08:54 door Anoniem
TBA. This advisory will be edited with more details on 2024/02/15, when admins have been given some time to update, as we think any amount of detail would make it very easy to come up with an exploit.

Sorry, maar dan kan deze CVE nooit lager zijn dan een 9.9.

Wanneer een remote exploit mogelijk is, er geen authenticatie hoeft plaatst te vinden en ALLE accounts overgenomen kunnen worden kan dit never nooit niet lager zijn dan een 9.5, en wanneer de informatie voor beheerders remote exploitation imminent maakt, dan moet het wel 9.9 zijn... achterhouden van informatie is NOOIT een beveiliging... Het is namelijk een assumptie dat niemand anders weet wat deze informatie is en dat lijkt me een utopie in de beveiligingswereld, laat staat in de state-exploit wereld.
05-02-2024, 15:08 door _R0N_
Door Anoniem:
TBA. This advisory will be edited with more details on 2024/02/15, when admins have been given some time to update, as we think any amount of detail would make it very easy to come up with an exploit.

Sorry, maar dan kan deze CVE nooit lager zijn dan een 9.9.

Wanneer een remote exploit mogelijk is, er geen authenticatie hoeft plaatst te vinden en ALLE accounts overgenomen kunnen worden kan dit never nooit niet lager zijn dan een 9.5, en wanneer de informatie voor beheerders remote exploitation imminent maakt, dan moet het wel 9.9 zijn... achterhouden van informatie is NOOIT een beveiliging... Het is namelijk een assumptie dat niemand anders weet wat deze informatie is en dat lijkt me een utopie in de beveiligingswereld, laat staat in de state-exploit wereld.

Nee, 9+ achter de komma is afhankelijk van het gemak waarmee het uit te voeren is en of beschikbaarheid van exploit.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.