В Mastodon устранен критический баг TootRoot, дававший root-права в федеративных инстансах - «Новости» » Интернет технологии
sitename
Представлена глобальная версия смартфон Infinix Note Edge с тонким корпусом, ёмкой батареей и большим AMOLED за $200 - «Новости сети»
Представлена глобальная версия смартфон Infinix Note Edge с тонким корпусом, ёмкой батареей и большим AMOLED за $200 - «Новости сети»
 «От Марса к столу»: NASA заплатит $750 000 за лучшую идею, чем кормить людей на Луне и Марсе - «Новости сети»
«От Марса к столу»: NASA заплатит $750 000 за лучшую идею, чем кормить людей на Луне и Марсе - «Новости сети»
 Солнце раскрасило небо полярными сияниями — Землю накрыл сильнейший радиационный шторм XXI века - «Новости сети»
Солнце раскрасило небо полярными сияниями — Землю накрыл сильнейший радиационный шторм XXI века - «Новости сети»
 Google обновила интерфейс голосового поиска на Android — впервые за несколько лет - «Новости сети»
Google обновила интерфейс голосового поиска на Android — впервые за несколько лет - «Новости сети»
 «Атмосферу можно лопать ложками»: новый трейлер симулятора ночного киоска «Размена не будет» поразил игроков - «Новости сети»
«Атмосферу можно лопать ложками»: новый трейлер симулятора ночного киоска «Размена не будет» поразил игроков - «Новости сети»
 «Роснано» запустила сборку микросхем в Зеленограде по российской технологии - «Новости сети»
«Роснано» запустила сборку микросхем в Зеленограде по российской технологии - «Новости сети»
 Искусственное Солнце на Земле первым зажжёт Китай — не позже 2030 года, пообещали учёные - «Новости сети»
Искусственное Солнце на Земле первым зажжёт Китай — не позже 2030 года, пообещали учёные - «Новости сети»
 Бывший глава разработки Tesla Optimus теперь будет строить роботов в Boston Dynamics - «Новости сети»
Бывший глава разработки Tesla Optimus теперь будет строить роботов в Boston Dynamics - «Новости сети»
 Micron запустила строительство мегафабрики памяти в Нью-Йорке за $100 млрд — проекта ждали с 2022 года - «Новости сети»
Micron запустила строительство мегафабрики памяти в Нью-Йорке за $100 млрд — проекта ждали с 2022 года - «Новости сети»
 Совершеннолетние пользователи бесплатной версии ChatGPT в США первыми увидят рекламу - «Новости сети»
Совершеннолетние пользователи бесплатной версии ChatGPT в США первыми увидят рекламу - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » В Mastodon устранен критический баг TootRoot, дававший root-права в федеративных инстансах - «Новости»

✔В Mastodon устранен критический баг TootRoot, дававший root-права в федеративных инстансах - «Новости»

09 июля 2023 747 Новости / Преимущества стилей / Вёрстка / Интернет и связь / HTML, CSS, JavaScript. / Изображения 0

Децентрализованная социальная сеть Mastodon, набравшая популярность после последних изменений в Twitter, выпустила обновление безопасности для исправления критических уязвимостей, которые могли подвергнуть риску миллионы пользователей. Наиболее серьезная проблема получила имя TootRoot и вынуждала код обработки мультимедиа в Mastodon создавать файлы в произвольном месте.


Уязвимость TootRoot получила идентификатор CVE-2023-36460. Разработчики описали эту проблему как «произвольное создание файлов с помощью мультимедийных вложений».


«Используя тщательно подготовленные медиафайлы, злоумышленники могли заставить код обработки мультимедиа Mastodon создавать произвольные файлы в любом месте», — объяснили в НКО Mastodon gGmbH.


Известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont) пишет, что использование уязвимости позволяло создать и запостить «сообщение, которое создает веб-шелл для инстансов, обрабатывающих это сообщение». Именно он придумал для уязвимости название TootRoot: toot’ами называют посты в Mastodon (по аналогии с твитами в Twitter), и именно сообщения пользователей позволяли получить root-доступ к инстансам.


Эксперты объясняют, что злоумышленник, контролирующий тысячи инстансов Mastodon, мог  нанести урон как отдельным пользователям, так и интернету в целом. Например, захваченные инстансы могли отправлять пользователям сообщения с инструкциями по загрузке и установке вредоносных приложений или могли спровоцировать сбой во всей инфраструктуре в целом.


Патчи, выпущенные на этой неделе, стали результатом недавнего аудита безопасности и пентестинга Mastodon, который финансировала Mozilla Foundation. Соучредитель и технический директор социальной сети Рено Чапут (Renaud Chaput) сообщил СМИ, что аудитом занималась фирма под названием Cure53, а исправления были разработаны командой внутри Mastodon. В итоге в последние недели разработчики рассылали уведомления всем крупным серверам, информируя их администраторов о необходимости установить обновление сразу же, как только оно станет доступно.


В общей сложности в Mastodon исправили пять уязвимостей, и еще одной из ошибок, CVE-2023-36459, тоже был присвоен статус критической. В обзоре Mastodon этот недостаток описан как XSS-проблема, связанная с предварительным просмотром oEmbed.


«Используя тщательно обработанные данные oEmbed, злоумышленник может обойти очистку HTML, выполняемую Mastodon, и внедрить произвольный HTML в карты предварительного просмотра oEmbed. Это создает вектор для доставки XSS-пейлоада, который может рендериться в браузере пользователя после клика по вредоносной ссылке», — пишут разработчики.


Три оставшиеся уязвимости имеют более низкую степень серьезности. Среди них: слепая LDAP-инъекция при логине; отказ в обслуживании посредством медленных ответов HTTP; а также проблема с форматированием ссылок на подтвержденные профили.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Децентрализованная социальная сеть Mastodon, набравшая популярность после последних изменений в Twitter, выпустила обновление безопасности для исправления критических уязвимостей, которые могли подвергнуть риску миллионы пользователей. Наиболее серьезная проблема получила имя TootRoot и вынуждала код обработки мультимедиа в Mastodon создавать файлы в произвольном месте. Уязвимость TootRoot получила идентификатор CVE-2023-36460. Разработчики описали эту проблему как «произвольное создание файлов с помощью мультимедийных вложений». «Используя тщательно подготовленные медиафайлы, злоумышленники могли заставить код обработки мультимедиа Mastodon создавать произвольные файлы в любом месте», — объяснили в НКО Mastodon gGmbH. Известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont) пишет, что использование уязвимости позволяло создать и запостить «сообщение, которое создает веб-шелл для инстансов, обрабатывающих это сообщение». Именно он придумал для уязвимости название TootRoot: toot’ами называют посты в Mastodon (по аналогии с твитами в Twitter), и именно сообщения пользователей позволяли получить root-доступ к инстансам. Эксперты объясняют, что злоумышленник, контролирующий тысячи инстансов Mastodon, мог нанести урон как отдельным пользователям, так и интернету в целом. Например, захваченные инстансы могли отправлять пользователям сообщения с инструкциями по загрузке и установке вредоносных приложений или могли спровоцировать сбой во всей инфраструктуре в целом. Патчи, выпущенные на этой неделе, стали результатом недавнего аудита безопасности и пентестинга Mastodon, который финансировала Mozilla Foundation. Соучредитель и технический директор социальной сети Рено Чапут (Renaud Chaput) сообщил СМИ, что аудитом занималась фирма под названием Cure53, а исправления были разработаны командой внутри Mastodon. В итоге в последние недели разработчики рассылали уведомления всем крупным серверам, информируя их администраторов о необходимости установить обновление сразу же, как только оно станет доступно. В общей сложности в Mastodon исправили пять уязвимостей, и еще одной из ошибок, CVE-2023-36459, тоже был присвоен статус критической. В обзоре Mastodon этот недостаток описан как XSS-проблема, связанная с предварительным просмотром oEmbed. «Используя тщательно обработанные данные oEmbed, злоумышленник может обойти очистку HTML, выполняемую Mastodon, и внедрить произвольный HTML в карты предварительного просмотра oEmbed. Это создает вектор для доставки XSS-пейлоада, который может рендериться в браузере пользователя после клика по вредоносной ссылке», — пишут разработчики. Три оставшиеся уязвимости имеют более низкую степень серьезности. Среди них: слепая LDAP-инъекция при логине; отказ в обслуживании посредством медленных ответов HTTP; а также проблема с форматированием ссылок на подтвержденные профили.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: