今週のダイジェストでは、マストドンの2つの重大な脆弱性について説明する。
マストドン・セキュリティ勧告
背景
マストドンは、フリーでオープンソースの、マイクロブログ機能を持つ分散型ソーシャルネットワークで、広く使われている。マストドンはTwitterに代わるオープンソースで分散型のソーシャルネットワークとして注目されている。マストドンは、Linodeを含むクラウド・ホスティング・プラットフォーム上の様々なエンティティによってホストされた、独立に管理されたノードによって運営されている。
脆弱性(ぜいじゃくせい
マストドンは今週初め、2つの重大な脆弱性を含む複数の脆弱性を修正した新バージョンをリリースした:CVE-2023-36460と CVE-2023-36459である。
CVE-2023-36460メディア添付による任意のファイル作成
この脆弱性は、CVE-2023-36460として追跡され、GHSA-9928で説明されており、攻撃者は、インストールされたMastodonインスタンスがアクセスできる任意の場所にファイルを作成し、上書きすることができます。
Mastodonの脆弱なバージョン(バージョン3.5.0からバージョン3.5.9、4.0.5、4.1.3以前)は、パス名内の特殊な要素を適切にサニタイズおよび無効化することなく、外部入力を使用してパス名を構築します。この外部入力は、制限されたディレクトリ以下のファイルまたはディレクトリを識別するためのものである。しかし、この外部入力は、この指定されたディレクトリ内でのみ解決されるように制限またはサニタイズされていないため、ディレクトリトラバーサルによる制限されたディレクトリ外へのアクセスや書き込みが可能です。このような悪用は、Mastodon サーバのサービス拒否からリモートコード実行に至るまで、壊滅的な結果をもたらす可能性があります。
Mastodonサーバーに投稿できるユーザーであれば誰でもこの脆弱性を悪用できるため、この脆弱性の影響は大きく、深刻度はクリティカルと評価されている。さらに、マストドンはソーシャルメディア・プラットフォームであり、投稿やエクスプロイトを実行できるユーザーの数は非常に多い。
CVE-2023-36459: oEmbed プレビューカードによる XSS
この脆弱性は、CVE-2023-36459として追跡され、GHSA-ccm4 の下で説明されており、攻撃者が Mastodon oEmbed データを細工して oEmbed プレビューカードに任意の HTML を含めることを可能にするクロスサイトスクリプティング(XSS)の脆弱性であり、その結果、信頼できないソースコードを持つウェブサイトとユーザがやりとりすることに関連する様々なリスクが生じます。
Mastodonの脆弱なバージョン(バージョン1.3からバージョン3.5.9、4.0.5、4.1.3以前)は、攻撃者がoEmbedデータを使用したHTMLサニタイズ処理を回避することを可能にする。これらのバージョンのMastodonでは、oEmbedプレビューカード内のユーザが制御可能な入力が、他のユーザに提供されるWebページの一部として出力される前に正しく無効化されません。そのため、攻撃者が制御したHTMLがユーザーに提供されてしまう。この悪用により、XSSペイロードのベクトルが導入され、ユーザーによって操作されると、ユーザーのブラウザとマシンで信頼されていない悪意のあるコードが実行される可能性があります。
マストドン・サーバー上でoEmbedデータを作成できるユーザーであれば、誰でもこの脆弱性を悪用できるため、この脆弱性は影響が大きく、深刻度はクリティカルである。さらに、感染したサーバーの全メンバーが攻撃を受けやすい。
ミティゲーション
- ホストされているMastodonインスタンスをバージョン4.1.3、4.0.5、または3.5.9にアップデートする。
- アクセスするマストドン・サーバーが最新バージョンであることを確認してください。
注:マストドンは手動インストールでLinodesにホストすることができます。 ワンクリックマーケットプレイスアプリ.しかし、これらのインスタンスはLinodeによって管理・保守されていません。Linodeユーザーはリスクを理解し、インストールされたソフトウェアを最新の状態に保つ必要があります。詳細については 、マストドンマーケットプレイスアプリ導入ガイドをご覧ください。
コメント