В Mastodon устранен критический баг TootRoot, дававший root-права в федеративных инстансах - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » В Mastodon устранен критический баг TootRoot, дававший root-права в федеративных инстансах - «Новости»

✔В Mastodon устранен критический баг TootRoot, дававший root-права в федеративных инстансах - «Новости»

09 июля 2023 531 Новости / Преимущества стилей / Вёрстка / Интернет и связь / HTML, CSS, JavaScript. / Изображения 0

Децентрализованная социальная сеть Mastodon, набравшая популярность после последних изменений в Twitter, выпустила обновление безопасности для исправления критических уязвимостей, которые могли подвергнуть риску миллионы пользователей. Наиболее серьезная проблема получила имя TootRoot и вынуждала код обработки мультимедиа в Mastodon создавать файлы в произвольном месте.


Уязвимость TootRoot получила идентификатор CVE-2023-36460. Разработчики описали эту проблему как «произвольное создание файлов с помощью мультимедийных вложений».


«Используя тщательно подготовленные медиафайлы, злоумышленники могли заставить код обработки мультимедиа Mastodon создавать произвольные файлы в любом месте», — объяснили в НКО Mastodon gGmbH.


Известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont) пишет, что использование уязвимости позволяло создать и запостить «сообщение, которое создает веб-шелл для инстансов, обрабатывающих это сообщение». Именно он придумал для уязвимости название TootRoot: toot’ами называют посты в Mastodon (по аналогии с твитами в Twitter), и именно сообщения пользователей позволяли получить root-доступ к инстансам.


Эксперты объясняют, что злоумышленник, контролирующий тысячи инстансов Mastodon, мог  нанести урон как отдельным пользователям, так и интернету в целом. Например, захваченные инстансы могли отправлять пользователям сообщения с инструкциями по загрузке и установке вредоносных приложений или могли спровоцировать сбой во всей инфраструктуре в целом.


Патчи, выпущенные на этой неделе, стали результатом недавнего аудита безопасности и пентестинга Mastodon, который финансировала Mozilla Foundation. Соучредитель и технический директор социальной сети Рено Чапут (Renaud Chaput) сообщил СМИ, что аудитом занималась фирма под названием Cure53, а исправления были разработаны командой внутри Mastodon. В итоге в последние недели разработчики рассылали уведомления всем крупным серверам, информируя их администраторов о необходимости установить обновление сразу же, как только оно станет доступно.


В общей сложности в Mastodon исправили пять уязвимостей, и еще одной из ошибок, CVE-2023-36459, тоже был присвоен статус критической. В обзоре Mastodon этот недостаток описан как XSS-проблема, связанная с предварительным просмотром oEmbed.


«Используя тщательно обработанные данные oEmbed, злоумышленник может обойти очистку HTML, выполняемую Mastodon, и внедрить произвольный HTML в карты предварительного просмотра oEmbed. Это создает вектор для доставки XSS-пейлоада, который может рендериться в браузере пользователя после клика по вредоносной ссылке», — пишут разработчики.


Три оставшиеся уязвимости имеют более низкую степень серьезности. Среди них: слепая LDAP-инъекция при логине; отказ в обслуживании посредством медленных ответов HTTP; а также проблема с форматированием ссылок на подтвержденные профили.


Децентрализованная социальная сеть Mastodon, набравшая популярность после последних изменений в Twitter, выпустила обновление безопасности для исправления критических уязвимостей, которые могли подвергнуть риску миллионы пользователей. Наиболее серьезная проблема получила имя TootRoot и вынуждала код обработки мультимедиа в Mastodon создавать файлы в произвольном месте. Уязвимость TootRoot получила идентификатор CVE-2023-36460. Разработчики описали эту проблему как «произвольное создание файлов с помощью мультимедийных вложений». «Используя тщательно подготовленные медиафайлы, злоумышленники могли заставить код обработки мультимедиа Mastodon создавать произвольные файлы в любом месте», — объяснили в НКО Mastodon gGmbH. Известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont) пишет, что использование уязвимости позволяло создать и запостить «сообщение, которое создает веб-шелл для инстансов, обрабатывающих это сообщение». Именно он придумал для уязвимости название TootRoot: toot’ами называют посты в Mastodon (по аналогии с твитами в Twitter), и именно сообщения пользователей позволяли получить root-доступ к инстансам. Эксперты объясняют, что злоумышленник, контролирующий тысячи инстансов Mastodon, мог нанести урон как отдельным пользователям, так и интернету в целом. Например, захваченные инстансы могли отправлять пользователям сообщения с инструкциями по загрузке и установке вредоносных приложений или могли спровоцировать сбой во всей инфраструктуре в целом. Патчи, выпущенные на этой неделе, стали результатом недавнего аудита безопасности и пентестинга Mastodon, который финансировала Mozilla Foundation. Соучредитель и технический директор социальной сети Рено Чапут (Renaud Chaput) сообщил СМИ, что аудитом занималась фирма под названием Cure53, а исправления были разработаны командой внутри Mastodon. В итоге в последние недели разработчики рассылали уведомления всем крупным серверам, информируя их администраторов о необходимости установить обновление сразу же, как только оно станет доступно. В общей сложности в Mastodon исправили пять уязвимостей, и еще одной из ошибок, CVE-2023-36459, тоже был присвоен статус критической. В обзоре Mastodon этот недостаток описан как XSS-проблема, связанная с предварительным просмотром oEmbed. «Используя тщательно обработанные данные oEmbed, злоумышленник может обойти очистку HTML, выполняемую Mastodon, и внедрить произвольный HTML в карты предварительного просмотра oEmbed. Это создает вектор для доставки XSS-пейлоада, который может рендериться в браузере пользователя после клика по вредоносной ссылке», — пишут разработчики. Три оставшиеся уязвимости имеют более низкую степень серьезности. Среди них: слепая LDAP-инъекция при логине; отказ в обслуживании посредством медленных ответов HTTP; а также проблема с форматированием ссылок на подтвержденные профили.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: