No resumo desta semana, discutimos duas vulnerabilidades críticas no Mastodon.
Aviso de segurança do Mastodon
Antecedentes
Mastodon é uma rede social descentralizada, gratuita, de código aberto e amplamente utilizada, com características de microblogging. É vista como uma alternativa descentralizada e de código aberto ao Twitter. O Mastodon é executado através de nós geridos de forma independente, alojados por diferentes entidades em plataformas de alojamento na nuvem, incluindo a Linode.
Vulnerabilidades
O Mastodon lançou recentemente as suas novas versões no início desta semana, que corrigem várias vulnerabilidades, incluindo duas vulnerabilidades críticas: CVE-2023-36460 e CVE-2023-36459.
CVE-2023-36460: Criação arbitrária de ficheiros através de anexos multimédia
Esta vulnerabilidade, registada como CVE-2023-36460 e descrita em GHSA-9928, permite que um atacante crie e substitua ficheiros em qualquer localização arbitrária à qual a instância Mastodon instalada tenha acesso.
As versões vulneráveis do Mastodon (a partir da versão 3.5.0 e anteriores às versões 3.5.9, 4.0.5 e 4.1.3) usam entradas externas para construir um nome de caminho sem higienizar e neutralizar adequadamente os elementos especiais dentro do nome do caminho. Esta entrada externa destina-se a identificar um ficheiro ou diretório abaixo de um diretório restrito. No entanto, não é limitada ou higienizada para resolver apenas dentro deste diretório especificado, permitindo assim o acesso e a escrita fora do diretório restrito através da travessia do diretório. Uma exploração deste tipo pode ter consequências devastadoras, desde a negação de serviço à execução remota de código no servidor Mastodon.
A vulnerabilidade tem um impacto elevado e está classificada como tendo uma gravidade crítica, uma vez que qualquer utilizador que possa publicar num servidor Mastodon pode explorar esta vulnerabilidade. Além disso, o Mastodon é uma plataforma de redes sociais e o número de utilizadores que podem fazer publicações e executar exploits é muito elevado.
CVE-2023-36459: XSS através de cartões de pré-visualização do oEmbed
Esta vulnerabilidade, registada como CVE-2023-36459 e descrita em GHSA-ccm4, é uma vulnerabilidade de XSS (Cross-Site Scripting) que permite a um atacante criar dados Mastodon oEmbed para incluir HTML arbitrário em cartões de pré-visualização oEmbed, resultando em vários riscos associados a um utilizador que interage com um sítio Web com código-fonte não fiável.
As versões vulneráveis do Mastodon (da versão 1.3 e anteriores às versões 3.5.9, 4.0.5 e 4.1.3) permitem que um atacante contorne o processo de sanitização de HTML usando dados oEmbed. Estas versões do Mastodon não neutralizam corretamente a entrada controlável pelo utilizador nos cartões de pré-visualização oEmbed antes de ser colocada na saída como parte de uma página Web servida a outros utilizadores. Assim, um HTML controlado por um atacante é servido aos utilizadores. Esta exploração introduz um vetor para cargas úteis XSS que, quando interagidas por um utilizador, podem executar código malicioso não fiável no browser e na máquina do utilizador.
A vulnerabilidade tem um impacto elevado e uma gravidade crítica, uma vez que qualquer utilizador que possa criar dados oEmbed num servidor mastodon pode explorar esta vulnerabilidade. Além disso, todos os membros de um servidor infetado são susceptíveis a um ataque.
Mitigação
- Atualize suas instâncias hospedadas do Mastodon para as versões 4.1.3, 4.0.5 ou 3.5.9
- Certifique-se de que os servidores Mastodon que visita estão actualizados com a versão mais recente
Nota: O Mastodon pode ser alojado em Linodes através de instalação manual e também é oferecido como uma Aplicação de Mercado de Um Clique. No entanto, essas instâncias não são gerenciadas ou mantidas pela Linode. Cabe aos utilizadores da Linode compreender os riscos e manter o software instalado atualizado. Para obter mais informações, consulte nosso Guia de implantação do aplicativo Mastodon Marketplace.
Comentários