Nel digest di questa settimana, discutiamo di due vulnerabilità critiche in Mastodon.
Avviso di sicurezza di Mastodon
Sfondo
Mastodon è un social network decentralizzato, gratuito, open source e ampiamente utilizzato con funzioni di microblogging. È considerato un'alternativa open source e decentralizzata a Twitter. Mastodon è gestito da nodi indipendenti ospitati da diverse entità su piattaforme di hosting cloud, tra cui Linode.
Vulnerabilità
Mastodon ha recentemente rilasciato le sue nuove versioni all'inizio di questa settimana, che risolvono diverse vulnerabilità, tra cui due vulnerabilità critiche: CVE-2023-36460 e CVE-2023-36459.
CVE-2023-36460: Creazione arbitraria di file attraverso gli allegati multimediali
Questa vulnerabilità, segnalata come CVE-2023-36460 e descritta in GHSA-9928, consente a un utente malintenzionato di creare e sovrascrivere file in qualsiasi posizione arbitraria a cui l'istanza di Mastodon installata ha accesso.
Le versioni vulnerabili di Mastodon (dalla versione 3.5.0 e precedenti alle versioni 3.5.9, 4.0.5 e 4.1.3) utilizzano input esterni per costruire un nome di percorso senza sanificare e neutralizzare correttamente gli elementi speciali all'interno del nome di percorso. Questo input esterno ha lo scopo di identificare un file o una directory al di sotto di una directory riservata. Tuttavia, non è limitato o sanificato per risolvere solo all'interno della directory specificata, consentendo così l'accesso e la scrittura al di fuori della directory ristretta tramite l'attraversamento della directory. Un exploit di questo tipo può portare a conseguenze devastanti che vanno dal Denial-of-Service all'esecuzione di codice remoto sul server Mastodon.
La vulnerabilità ha un impatto elevato ed è classificata di gravità critica, in quanto qualsiasi utente in grado di postare su un server Mastodon può sfruttare questa vulnerabilità. Inoltre, Mastodon è una piattaforma di social media e il numero di utenti che possono pubblicare post ed eseguire exploit è molto elevato.
CVE-2023-36459: XSS attraverso le schede di anteprima di oEmbed
Questa vulnerabilità, segnalata come CVE-2023-36459 e descritta sotto GHSA-ccm4, è una vulnerabilità Cross-Site Scripting (XSS) che consente a un utente malintenzionato di creare un Mastodon oEmbed data per includere HTML arbitrario nelle schede di anteprima di oEmbed, con conseguenti vari rischi associati all'interazione di un utente con un sito Web con codice sorgente non attendibile.
Le versioni vulnerabili di Mastodon (dalla versione 1.3 e precedenti alle versioni 3.5.9, 4.0.5 e 4.1.3) consentono a un utente malintenzionato di aggirare il processo di sanificazione dell'HTML utilizzando i dati di oEmbed. Queste versioni di Mastodon non neutralizzano correttamente l'input controllabile dall'utente nelle schede di anteprima di oEmbed prima che venga inserito nell'output come parte di una pagina web servita ad altri utenti. In questo modo, agli utenti viene servito un HTML controllato dall'aggressore. Questo exploit introduce un vettore per payload XSS che, se interagito da un utente, può eseguire codice dannoso non attendibile nel browser e nella macchina dell'utente.
La vulnerabilità ha un impatto elevato e una gravità critica, poiché qualsiasi utente in grado di creare dati oEmbed su un server mastodon può sfruttare questa vulnerabilità. Inoltre, tutti i membri di un server infetto sono suscettibili di un attacco.
Mitigazione
- Aggiornare le istanze Mastodon ospitate alle versioni 4.1.3, 4.0.5 o 3.5.9.
- Assicuratevi che i server Mastodon che visitate siano aggiornati all'ultima versione.
Nota: Mastodon può essere ospitato su Linodes tramite installazione manuale ed è anche offerto come app di Applicazione di mercato con un solo clic. Tuttavia, queste istanze non sono gestite o mantenute da Linode. Spetta agli utenti di Linode comprendere i rischi e mantenere aggiornato il software installato. Per ulteriori informazioni, consultare la nostra Guida alla distribuzione dell'applicazione Mastodon Marketplace.
Commenti