In der Zusammenfassung dieser Woche besprechen wir zwei kritische Sicherheitslücken in Mastodon.
Mastodon Sicherheitshinweis
Hintergrund
Mastodon ist ein kostenloses, quelloffenes und weit verbreitetes dezentrales soziales Netzwerk mit Microblogging-Funktionen. Es wird als quelloffene und dezentralisierte Alternative zu Twitter angesehen. Mastodon wird über unabhängig verwaltete Knoten betrieben, die von verschiedenen Unternehmen auf Cloud-Hosting-Plattformen, darunter Linode, gehostet werden.
Schwachstellen
Mastodon hat Anfang dieser Woche seine neuen Versionen veröffentlicht, die mehrere Sicherheitslücken beheben, darunter zwei kritische Sicherheitslücken: CVE-2023-36460 und CVE-2023-36459.
CVE-2023-36460: Beliebige Dateierstellung durch Medienanhänge
Diese Schwachstelle, die als CVE-2023-36460 verfolgt und unter GHSA-9928 beschrieben wird, erlaubt es einem Angreifer, Dateien an jedem beliebigen Ort zu erstellen und zu überschreiben, auf den die installierte Mastodon-Instanz Zugriff hat.
Anfällige Versionen von Mastodon (ab Version 3.5.0 und vor den Versionen 3.5.9, 4.0.5 und 4.1.3) verwenden externe Eingaben, um einen Pfadnamen zu konstruieren, ohne die speziellen Elemente innerhalb des Pfadnamens ordnungsgemäß zu bereinigen und zu neutralisieren. Diese externe Eingabe ist dazu gedacht, eine Datei oder ein Verzeichnis unterhalb eines eingeschränkten Verzeichnisses zu identifizieren. Sie ist jedoch nicht darauf beschränkt oder bereinigt, nur innerhalb des angegebenen Verzeichnisses aufgelöst zu werden, so dass der Zugriff und das Schreiben außerhalb des eingeschränkten Verzeichnisses über Directory Traversal möglich ist. Ein solcher Exploit kann zu verheerenden Folgen führen, die von Denial-of-Service bis hin zu Remote Code Execution auf dem Mastodon-Server reichen.
Die Sicherheitslücke hat große Auswirkungen und wird als kritisch eingestuft, da jeder Benutzer, der Beiträge auf einem Mastodon-Server veröffentlichen kann, diese Sicherheitslücke ausnutzen kann. Außerdem ist Mastodon eine Plattform für soziale Medien, und die Zahl der Benutzer, die Beiträge verfassen und Exploits ausführen können, ist sehr hoch.
CVE-2023-36459: XSS durch oEmbed Vorschau Karten
Bei dieser Sicherheitslücke, die als CVE-2023-36459 verfolgt und unter GHSA-ccm4 beschrieben wird, handelt es sich um eine Cross-Site-Scripting (XSS)-Schwachstelle, die es einem Angreifer ermöglicht, Mastodon oEmbed-Daten so zu gestalten, dass sie beliebigen HTML-Code in oEmbed-Vorschaukarten enthalten, was zu verschiedenen Risiken führt, wenn ein Benutzer mit einer Website mit nicht vertrauenswürdigem Quellcode interagiert.
Anfällige Versionen von Mastodon (ab Version 1.3 und vor den Versionen 3.5.9, 4.0.5 und 4.1.3) ermöglichen es einem Angreifer, den HTML-Sanitization-Prozess mit oEmbed-Daten zu umgehen. Diese Versionen von Mastodon neutralisieren benutzerkontrollierbare Eingaben in oEmbed-Vorschaukarten nicht korrekt, bevor sie in der Ausgabe als Teil einer Webseite platziert werden, die anderen Benutzern zur Verfügung gestellt wird. Daher wird den Benutzern ein vom Angreifer kontrollierter HTML-Code angezeigt. Diese Schwachstelle führt einen Vektor für XSS-Nutzdaten ein, die bei Interaktion mit einem Benutzer nicht vertrauenswürdigen bösartigen Code im Browser und auf dem Computer des Benutzers ausführen können.
Die Sicherheitslücke hat eine hohe Auswirkung und einen kritischen Schweregrad, da jeder Benutzer, der oEmbed-Daten auf einem Mastodon-Server erstellen kann, diese Sicherheitslücke ausnutzen kann. Außerdem sind alle Mitglieder eines infizierten Servers anfällig für einen Angriff.
Milderung
- Aktualisieren Sie Ihre gehosteten Mastodon-Instanzen auf die Versionen 4.1.3, 4.0.5 oder 3.5.9
- Stellen Sie sicher, dass die Mastodon-Server, die Sie besuchen, auf dem neuesten Stand sind
Hinweis: Mastodon kann über eine manuelle Installation auf Linodes gehostet werden und wird auch als Ein-Klick-Marktplatz-App. Diese Instanzen werden jedoch nicht von Linode verwaltet oder gewartet. Es obliegt den Linode-Nutzern, die Risiken zu verstehen und die installierte Software auf dem neuesten Stand zu halten. Weitere Informationen finden Sie in unserem Mastodon Marketplace App Deployment Guide.
Kommentare