Mastodon-accounts via kritieke kwetsbaarheid op afstand over te nemen
Een kritieke kwetsbaarheid maakt het mogelijk om Mastodon-accounts op afstand over te nemen. Een beveiligingsupdate om het probleem te verhelpen is uitgebracht. "Door onvoldoende origin validatie in Mastodon, kunnen aanvallers elk remote account imiteren en overnemen", aldus de security-advisory van het beveiligingslek, aangeduid als CVE-2024-23832.
Het probleem, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9,4, is aanwezig in elke Mastodon-versie tot 3.5.17, alsmede 4.0.x-versies tot 4.0.13, 4.1.x-versies tot 4.1.13 en 4.2.x-versies tot 4.2.5. Verdere details worden op 15 februari openbaar gemaakt, zodat beheerders de tijd krijgen om updates uit te rollen. Volgens Mastodon zal elk verder detail het zeer eenvoudig maken om een exploit te ontwikkelen en aanvallen uit te voeren. Mastodon is een gedecentraliseerd sociaal netwerk dat op individueel beheerde servers draait, wat inhoudt dat beheerders zelf verantwoordelijk zijn voor het up-to-date houden van hun server.
Sorry, maar dan kan deze CVE nooit lager zijn dan een 9.9.
Wanneer een remote exploit mogelijk is, er geen authenticatie hoeft plaatst te vinden en ALLE accounts overgenomen kunnen worden kan dit never nooit niet lager zijn dan een 9.5, en wanneer de informatie voor beheerders remote exploitation imminent maakt, dan moet het wel 9.9 zijn... achterhouden van informatie is NOOIT een beveiliging... Het is namelijk een assumptie dat niemand anders weet wat deze informatie is en dat lijkt me een utopie in de beveiligingswereld, laat staat in de state-exploit wereld.
Sorry, maar dan kan deze CVE nooit lager zijn dan een 9.9.
Wanneer een remote exploit mogelijk is, er geen authenticatie hoeft plaatst te vinden en ALLE accounts overgenomen kunnen worden kan dit never nooit niet lager zijn dan een 9.5, en wanneer de informatie voor beheerders remote exploitation imminent maakt, dan moet het wel 9.9 zijn... achterhouden van informatie is NOOIT een beveiliging... Het is namelijk een assumptie dat niemand anders weet wat deze informatie is en dat lijkt me een utopie in de beveiligingswereld, laat staat in de state-exploit wereld.
Nee, 9+ achter de komma is afhankelijk van het gemak waarmee het uit te voeren is en of beschikbaarheid van exploit.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
