В Mastodon устранен критический баг TootRoot, дававший root-права в федеративных инстансах - «Новости» » Интернет технологии
sitename
В Mercedes-Benz создали самый мощный в мире 13-килограммовый электродвигатель - «Новости сети»
В Mercedes-Benz создали самый мощный в мире 13-килограммовый электродвигатель - «Новости сети»
 Астрономы обнаружили странное тело в Солнечной системе, которое движется в резонансе с Нептуном - «Новости сети»
Астрономы обнаружили странное тело в Солнечной системе, которое движется в резонансе с Нептуном - «Новости сети»
 В США испытали двигатель ракеты для первого старта с другой планеты - «Новости сети»
В США испытали двигатель ракеты для первого старта с другой планеты - «Новости сети»
 Переход США на электромобили откладывается: автопроизводители массово отменяют и замораживают EV-проекты - «Новости сети»
Переход США на электромобили откладывается: автопроизводители массово отменяют и замораживают EV-проекты - «Новости сети»
 «Я еле живой»: ИИ проиграл программисту в 10-часовом кодинг-марафоне за титул чемпиона мира - «Новости сети»
«Я еле живой»: ИИ проиграл программисту в 10-часовом кодинг-марафоне за титул чемпиона мира - «Новости сети»
 Поиск смысла: в СУБД Yandex YDB появился векторный поиск, позволяющий искать по смысловым связям / ServerNews - «Новости сети»
Поиск смысла: в СУБД Yandex YDB появился векторный поиск, позволяющий искать по смысловым связям / ServerNews - «Новости сети»
 «Россети» намерены построить единую оптическую линию связи за 80 млрд рублей / ServerNews - «Новости сети»
«Россети» намерены построить единую оптическую линию связи за 80 млрд рублей / ServerNews - «Новости сети»
 Хакеры эксплуатируют критическую RCE-уязвимость в Wing FTP Server - «Новости»
Хакеры эксплуатируют критическую RCE-уязвимость в Wing FTP Server - «Новости»
 Материнские платы Gigabyte уязвимы перед UEFI-малварью - «Новости»
Материнские платы Gigabyte уязвимы перед UEFI-малварью - «Новости»
 Для доставки малвари Interlock применяется техника FileFix - «Новости»
Для доставки малвари Interlock применяется техника FileFix - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » В Mastodon устранен критический баг TootRoot, дававший root-права в федеративных инстансах - «Новости»

✔В Mastodon устранен критический баг TootRoot, дававший root-права в федеративных инстансах - «Новости»

09 июля 2023 741 Новости / Преимущества стилей / Вёрстка / Интернет и связь / HTML, CSS, JavaScript. / Изображения 0

Децентрализованная социальная сеть Mastodon, набравшая популярность после последних изменений в Twitter, выпустила обновление безопасности для исправления критических уязвимостей, которые могли подвергнуть риску миллионы пользователей. Наиболее серьезная проблема получила имя TootRoot и вынуждала код обработки мультимедиа в Mastodon создавать файлы в произвольном месте.


Уязвимость TootRoot получила идентификатор CVE-2023-36460. Разработчики описали эту проблему как «произвольное создание файлов с помощью мультимедийных вложений».


«Используя тщательно подготовленные медиафайлы, злоумышленники могли заставить код обработки мультимедиа Mastodon создавать произвольные файлы в любом месте», — объяснили в НКО Mastodon gGmbH.


Известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont) пишет, что использование уязвимости позволяло создать и запостить «сообщение, которое создает веб-шелл для инстансов, обрабатывающих это сообщение». Именно он придумал для уязвимости название TootRoot: toot’ами называют посты в Mastodon (по аналогии с твитами в Twitter), и именно сообщения пользователей позволяли получить root-доступ к инстансам.


Эксперты объясняют, что злоумышленник, контролирующий тысячи инстансов Mastodon, мог  нанести урон как отдельным пользователям, так и интернету в целом. Например, захваченные инстансы могли отправлять пользователям сообщения с инструкциями по загрузке и установке вредоносных приложений или могли спровоцировать сбой во всей инфраструктуре в целом.


Патчи, выпущенные на этой неделе, стали результатом недавнего аудита безопасности и пентестинга Mastodon, который финансировала Mozilla Foundation. Соучредитель и технический директор социальной сети Рено Чапут (Renaud Chaput) сообщил СМИ, что аудитом занималась фирма под названием Cure53, а исправления были разработаны командой внутри Mastodon. В итоге в последние недели разработчики рассылали уведомления всем крупным серверам, информируя их администраторов о необходимости установить обновление сразу же, как только оно станет доступно.


В общей сложности в Mastodon исправили пять уязвимостей, и еще одной из ошибок, CVE-2023-36459, тоже был присвоен статус критической. В обзоре Mastodon этот недостаток описан как XSS-проблема, связанная с предварительным просмотром oEmbed.


«Используя тщательно обработанные данные oEmbed, злоумышленник может обойти очистку HTML, выполняемую Mastodon, и внедрить произвольный HTML в карты предварительного просмотра oEmbed. Это создает вектор для доставки XSS-пейлоада, который может рендериться в браузере пользователя после клика по вредоносной ссылке», — пишут разработчики.


Три оставшиеся уязвимости имеют более низкую степень серьезности. Среди них: слепая LDAP-инъекция при логине; отказ в обслуживании посредством медленных ответов HTTP; а также проблема с форматированием ссылок на подтвержденные профили.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Децентрализованная социальная сеть Mastodon, набравшая популярность после последних изменений в Twitter, выпустила обновление безопасности для исправления критических уязвимостей, которые могли подвергнуть риску миллионы пользователей. Наиболее серьезная проблема получила имя TootRoot и вынуждала код обработки мультимедиа в Mastodon создавать файлы в произвольном месте. Уязвимость TootRoot получила идентификатор CVE-2023-36460. Разработчики описали эту проблему как «произвольное создание файлов с помощью мультимедийных вложений». «Используя тщательно подготовленные медиафайлы, злоумышленники могли заставить код обработки мультимедиа Mastodon создавать произвольные файлы в любом месте», — объяснили в НКО Mastodon gGmbH. Известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont) пишет, что использование уязвимости позволяло создать и запостить «сообщение, которое создает веб-шелл для инстансов, обрабатывающих это сообщение». Именно он придумал для уязвимости название TootRoot: toot’ами называют посты в Mastodon (по аналогии с твитами в Twitter), и именно сообщения пользователей позволяли получить root-доступ к инстансам. Эксперты объясняют, что злоумышленник, контролирующий тысячи инстансов Mastodon, мог нанести урон как отдельным пользователям, так и интернету в целом. Например, захваченные инстансы могли отправлять пользователям сообщения с инструкциями по загрузке и установке вредоносных приложений или могли спровоцировать сбой во всей инфраструктуре в целом. Патчи, выпущенные на этой неделе, стали результатом недавнего аудита безопасности и пентестинга Mastodon, который финансировала Mozilla Foundation. Соучредитель и технический директор социальной сети Рено Чапут (Renaud Chaput) сообщил СМИ, что аудитом занималась фирма под названием Cure53, а исправления были разработаны командой внутри Mastodon. В итоге в последние недели разработчики рассылали уведомления всем крупным серверам, информируя их администраторов о необходимости установить обновление сразу же, как только оно станет доступно. В общей сложности в Mastodon исправили пять уязвимостей, и еще одной из ошибок, CVE-2023-36459, тоже был присвоен статус критической. В обзоре Mastodon этот недостаток описан как XSS-проблема, связанная с предварительным просмотром oEmbed. «Используя тщательно обработанные данные oEmbed, злоумышленник может обойти очистку HTML, выполняемую Mastodon, и внедрить произвольный HTML в карты предварительного просмотра oEmbed. Это создает вектор для доставки XSS-пейлоада, который может рендериться в браузере пользователя после клика по вредоносной ссылке», — пишут разработчики. Три оставшиеся уязвимости имеют более низкую степень серьезности. Среди них: слепая LDAP-инъекция при логине; отказ в обслуживании посредством медленных ответов HTTP; а также проблема с форматированием ссылок на подтвержденные профили.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: