Merkezi olmayan sosyal ağ Mastodon, kötü niyetli aktörlerin herhangi bir hesabı taklit etmesine ve ele geçirmesine olanak tanıyan kritik bir güvenlik açığını ortaya çıkardı.
Bakımcılar kısa bir tavsiyede, “Tüm Mastodon’daki yetersiz menşe doğrulaması nedeniyle, saldırganlar herhangi bir uzak hesabın kimliğine bürünebilir ve ele geçirebilir” dedi.
Şu şekilde izlenen güvenlik açığı: CVE-2024-23832maksimum 10 üzerinden 9,4 önem derecesine sahiptir. Güvenlik araştırmacısı arkacanis bunu keşfetmesi ve rapor etmesiyle itibar kazandı.
Bu, “kaynak doğrulama hatası” olarak tanımlandı (CWE-346), bu da genellikle bir saldırganın “kaynağın yanlışlıkla erişebildiği herhangi bir işlevselliğe erişmesine” olanak tanıyabilir.
3.5.17’den önceki her Mastodon sürümü, 4.0.13’ten önceki 4.0.x sürümleri, 4.1.13’ten önceki 4.1.x sürümleri ve 4.2.5’ten önceki 4.2.x sürümleri gibi güvenlik açığına sahiptir.
Mastodon, kusurla ilgili ek teknik ayrıntıları 15 Şubat 2024’e kadar sakladığını söyledi. yöneticiler Sunucu örneklerini güncellemek ve kötüye kullanım olasılığını önlemek için yeterli zaman.
“Herhangi bir miktarda ayrıntı, bir istismarın ortaya çıkmasını çok kolaylaştıracaktır” dedi.
Platformun birleşik yapısı, yerel olarak uygulanan kendi kurallarını ve düzenlemelerini oluşturan ilgili yöneticiler tarafından bağımsız olarak barındırılan ve işletilen ayrı sunucularda (örnek olarak da bilinir) çalıştığı anlamına gelir.
Bu aynı zamanda her bulut sunucusunun benzersiz bir davranış kurallarına, hizmet şartlarına, gizlilik politikasına ve içerik denetleme yönergelerine sahip olduğu anlamına gelmez; aynı zamanda her yöneticinin, bulut sunucularını potansiyel risklere karşı güvence altına almak için güvenlik güncellemelerini zamanında uygulamasını gerektirir.
Açıklama, Mastodon’un rakipler tarafından hizmet reddine (DoS) neden olmak veya uzaktan kod yürütmek için silah haline getirilebilecek diğer iki kritik kusuru (CVE-2023-36460 ve 2023-36459) ele almasından yaklaşık yedi ay sonra geldi.