在本周的摘要中,我们讨论了Mastodon的两个关键漏洞。
Mastodon安全公告
背景介绍
Mastodon是一个免费的、开源的、广泛使用的具有微博功能的分散式社交网络。它被视为Twitter的一个开源和去中心化的替代品。Mastodon通过独立管理的节点运行,这些节点由不同实体在云主机平台上托管,包括Linode。
漏洞
Mastodon最近在本周早些时候发布了其新版本,修复了多个漏洞,包括两个关键漏洞:CVE-2023-36460和CVE-2023-36459。
CVE-2023-36460:通过媒体附件任意创建文件
该漏洞被追踪为CVE-2023-36460,并在GHSA-9928下描述,允许攻击者在已安装的Mastodon实例可访问的任何任意位置创建和覆盖文件。
有漏洞的Mastodon版本(从3.5.0版本和之前的3.5.9、4.0.5和4.1.3版本)使用外部输入来构建路径名,而没有正确地消毒和中和路径名中的特殊元素。这种外部输入的目的是为了识别一个受限目录下的文件或目录。然而,它没有被限制或消毒,只能在这个指定的目录内解决,因此允许通过目录遍历访问和写入限制目录之外。这样的漏洞可以导致破坏性的后果,从拒绝服务到远程代码执行的Mastodon服务器上。
该漏洞的影响很大,被评为严重程度,因为任何能在Mastodon服务器上发帖的用户都可以利用这个漏洞。此外,Mastodon是一个社交媒体平台,能够发帖和运行漏洞的用户数量非常多。
CVE-2023-36459: 通过oEmbed预览卡的XSS问题
该漏洞被追踪为CVE-2023-36459,在GHSA-ccm4下描述,是一个跨站脚本(XSS)漏洞,允许攻击者制作Mastodon oEmbed数据,在oEmbed预览卡中包含任意HTML,导致与用户与具有不受信任的源代码的网站互动的各种风险。
有漏洞的Mastodon版本(从1.3版本和之前的3.5.9、4.0.5和4.1.3版本)允许攻击者使用oEmbed数据规避HTML消毒过程。这些版本的Mastodon在oEmbed预览卡中没有正确地中和用户可控制的输入,然后将其作为网页的一部分输出给其他用户。因此,一个攻击者控制的HTML被提供给用户。这个漏洞引入了一个XSS有效载荷的载体,当用户与之互动时,可以在用户的浏览器和机器中运行不受信任的恶意代码。
该漏洞具有较高的影响和严重性,因为任何能够在乳腺服务器上创建oEmbed数据的用户都可以利用这个漏洞。此外,受感染的服务器的所有成员都容易受到攻击。
缓解
- 将您托管的Mastodon实例更新至4.1.3、4.0.5或3.5.9版本
- 确保你访问的Mastodon服务器是最新的版本
注意:Mastodon可以通过手动安装托管在Linodes上,也可以作为一个 一键式市场应用.然而,这些实例不由Linode管理或维护。Linode用户有责任了解风险并保持所安装的软件是最新的。欲了解更多信息,请查看我们的 Mastodon市场应用部署指南。
注释