В Mastodon устранен критический баг TootRoot, дававший root-права в федеративных инстансах - «Новости» » Интернет технологии
sitename
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
 Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
 Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
 «Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
«Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
 Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
 Уязвимость нулевого дня в Windows приводит к утечке NTLM-хешей - «Новости»
Уязвимость нулевого дня в Windows приводит к утечке NTLM-хешей - «Новости»
 Shedding Zmiy использует руткит Puma для атак на российские организации - «Новости»
Shedding Zmiy использует руткит Puma для атак на российские организации - «Новости»
 Шпионская хак-группа RedCurl создала собственное вымогательское ПО - «Новости»
Шпионская хак-группа RedCurl создала собственное вымогательское ПО - «Новости»
 Mozilla предупреждает: Firefox для Windows уязвим перед побегом из песочницы - «Новости»
Mozilla предупреждает: Firefox для Windows уязвим перед побегом из песочницы - «Новости»
 ИБ-специалисты взломали инфраструктуру вымогательской группы BlackLock - «Новости»
ИБ-специалисты взломали инфраструктуру вымогательской группы BlackLock - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » В Mastodon устранен критический баг TootRoot, дававший root-права в федеративных инстансах - «Новости»

✔В Mastodon устранен критический баг TootRoot, дававший root-права в федеративных инстансах - «Новости»

09 июля 2023 650 Новости / Преимущества стилей / Вёрстка / Интернет и связь / HTML, CSS, JavaScript. / Изображения 0

Децентрализованная социальная сеть Mastodon, набравшая популярность после последних изменений в Twitter, выпустила обновление безопасности для исправления критических уязвимостей, которые могли подвергнуть риску миллионы пользователей. Наиболее серьезная проблема получила имя TootRoot и вынуждала код обработки мультимедиа в Mastodon создавать файлы в произвольном месте.


Уязвимость TootRoot получила идентификатор CVE-2023-36460. Разработчики описали эту проблему как «произвольное создание файлов с помощью мультимедийных вложений».


«Используя тщательно подготовленные медиафайлы, злоумышленники могли заставить код обработки мультимедиа Mastodon создавать произвольные файлы в любом месте», — объяснили в НКО Mastodon gGmbH.


Известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont) пишет, что использование уязвимости позволяло создать и запостить «сообщение, которое создает веб-шелл для инстансов, обрабатывающих это сообщение». Именно он придумал для уязвимости название TootRoot: toot’ами называют посты в Mastodon (по аналогии с твитами в Twitter), и именно сообщения пользователей позволяли получить root-доступ к инстансам.


Эксперты объясняют, что злоумышленник, контролирующий тысячи инстансов Mastodon, мог  нанести урон как отдельным пользователям, так и интернету в целом. Например, захваченные инстансы могли отправлять пользователям сообщения с инструкциями по загрузке и установке вредоносных приложений или могли спровоцировать сбой во всей инфраструктуре в целом.


Патчи, выпущенные на этой неделе, стали результатом недавнего аудита безопасности и пентестинга Mastodon, который финансировала Mozilla Foundation. Соучредитель и технический директор социальной сети Рено Чапут (Renaud Chaput) сообщил СМИ, что аудитом занималась фирма под названием Cure53, а исправления были разработаны командой внутри Mastodon. В итоге в последние недели разработчики рассылали уведомления всем крупным серверам, информируя их администраторов о необходимости установить обновление сразу же, как только оно станет доступно.


В общей сложности в Mastodon исправили пять уязвимостей, и еще одной из ошибок, CVE-2023-36459, тоже был присвоен статус критической. В обзоре Mastodon этот недостаток описан как XSS-проблема, связанная с предварительным просмотром oEmbed.


«Используя тщательно обработанные данные oEmbed, злоумышленник может обойти очистку HTML, выполняемую Mastodon, и внедрить произвольный HTML в карты предварительного просмотра oEmbed. Это создает вектор для доставки XSS-пейлоада, который может рендериться в браузере пользователя после клика по вредоносной ссылке», — пишут разработчики.


Три оставшиеся уязвимости имеют более низкую степень серьезности. Среди них: слепая LDAP-инъекция при логине; отказ в обслуживании посредством медленных ответов HTTP; а также проблема с форматированием ссылок на подтвержденные профили.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Децентрализованная социальная сеть Mastodon, набравшая популярность после последних изменений в Twitter, выпустила обновление безопасности для исправления критических уязвимостей, которые могли подвергнуть риску миллионы пользователей. Наиболее серьезная проблема получила имя TootRoot и вынуждала код обработки мультимедиа в Mastodon создавать файлы в произвольном месте. Уязвимость TootRoot получила идентификатор CVE-2023-36460. Разработчики описали эту проблему как «произвольное создание файлов с помощью мультимедийных вложений». «Используя тщательно подготовленные медиафайлы, злоумышленники могли заставить код обработки мультимедиа Mastodon создавать произвольные файлы в любом месте», — объяснили в НКО Mastodon gGmbH. Известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont) пишет, что использование уязвимости позволяло создать и запостить «сообщение, которое создает веб-шелл для инстансов, обрабатывающих это сообщение». Именно он придумал для уязвимости название TootRoot: toot’ами называют посты в Mastodon (по аналогии с твитами в Twitter), и именно сообщения пользователей позволяли получить root-доступ к инстансам. Эксперты объясняют, что злоумышленник, контролирующий тысячи инстансов Mastodon, мог нанести урон как отдельным пользователям, так и интернету в целом. Например, захваченные инстансы могли отправлять пользователям сообщения с инструкциями по загрузке и установке вредоносных приложений или могли спровоцировать сбой во всей инфраструктуре в целом. Патчи, выпущенные на этой неделе, стали результатом недавнего аудита безопасности и пентестинга Mastodon, который финансировала Mozilla Foundation. Соучредитель и технический директор социальной сети Рено Чапут (Renaud Chaput) сообщил СМИ, что аудитом занималась фирма под названием Cure53, а исправления были разработаны командой внутри Mastodon. В итоге в последние недели разработчики рассылали уведомления всем крупным серверам, информируя их администраторов о необходимости установить обновление сразу же, как только оно станет доступно. В общей сложности в Mastodon исправили пять уязвимостей, и еще одной из ошибок, CVE-2023-36459, тоже был присвоен статус критической. В обзоре Mastodon этот недостаток описан как XSS-проблема, связанная с предварительным просмотром oEmbed. «Используя тщательно обработанные данные oEmbed, злоумышленник может обойти очистку HTML, выполняемую Mastodon, и внедрить произвольный HTML в карты предварительного просмотра oEmbed. Это создает вектор для доставки XSS-пейлоада, который может рендериться в браузере пользователя после клика по вредоносной ссылке», — пишут разработчики. Три оставшиеся уязвимости имеют более низкую степень серьезности. Среди них: слепая LDAP-инъекция при логине; отказ в обслуживании посредством медленных ответов HTTP; а также проблема с форматированием ссылок на подтвержденные профили.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: