Mastodon-accounts via kritieke kwetsbaarheid op afstand over te nemen
Een kritieke kwetsbaarheid maakt het mogelijk om Mastodon-accounts op afstand over te nemen. Een beveiligingsupdate om het probleem te verhelpen is uitgebracht. "Door onvoldoende origin validatie in Mastodon, kunnen aanvallers elk remote account imiteren en overnemen", aldus de security-advisory van het beveiligingslek, aangeduid als CVE-2024-23832.
Het probleem, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9,4, is aanwezig in elke Mastodon-versie tot 3.5.17, alsmede 4.0.x-versies tot 4.0.13, 4.1.x-versies tot 4.1.13 en 4.2.x-versies tot 4.2.5. Verdere details worden op 15 februari openbaar gemaakt, zodat beheerders de tijd krijgen om updates uit te rollen. Volgens Mastodon zal elk verder detail het zeer eenvoudig maken om een exploit te ontwikkelen en aanvallen uit te voeren. Mastodon is een gedecentraliseerd sociaal netwerk dat op individueel beheerde servers draait, wat inhoudt dat beheerders zelf verantwoordelijk zijn voor het up-to-date houden van hun server.
Sorry, maar dan kan deze CVE nooit lager zijn dan een 9.9.
Wanneer een remote exploit mogelijk is, er geen authenticatie hoeft plaatst te vinden en ALLE accounts overgenomen kunnen worden kan dit never nooit niet lager zijn dan een 9.5, en wanneer de informatie voor beheerders remote exploitation imminent maakt, dan moet het wel 9.9 zijn... achterhouden van informatie is NOOIT een beveiliging... Het is namelijk een assumptie dat niemand anders weet wat deze informatie is en dat lijkt me een utopie in de beveiligingswereld, laat staat in de state-exploit wereld.
Sorry, maar dan kan deze CVE nooit lager zijn dan een 9.9.
Wanneer een remote exploit mogelijk is, er geen authenticatie hoeft plaatst te vinden en ALLE accounts overgenomen kunnen worden kan dit never nooit niet lager zijn dan een 9.5, en wanneer de informatie voor beheerders remote exploitation imminent maakt, dan moet het wel 9.9 zijn... achterhouden van informatie is NOOIT een beveiliging... Het is namelijk een assumptie dat niemand anders weet wat deze informatie is en dat lijkt me een utopie in de beveiligingswereld, laat staat in de state-exploit wereld.
Nee, 9+ achter de komma is afhankelijk van het gemak waarmee het uit te voeren is en of beschikbaarheid van exploit.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
