Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
Alert!

Fediverse: Kritische Sicherheitslücken in Mastodon-Software abgedichtet

Betreiber von Mastodon-Instanzen müssen die Server aktualisieren. Ältere Versionen bringen kritische Sicherheitslücken mit, die etwa Codeschmuggel erlauben.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
An,Illustration,Of,A,Group,Of,Woolly,Mammoths,Grazing,In

(Bild: Aunt Spray / Shutterstock.com)

Lesezeit: 2 Min.
Security
Von

Gleich vier Sicherheitslücken schließen die Entwickler in der Mastodon-Software. Zwei davon gelten sogar als kritisch und erlauben das Einschmuggeln und Ausführen von Schadcode. Am Ende können Angreifer die Mastodon-Server kompromittieren.

Mastodon: Kritische Lücken

Angreifer können mit sorgsam präparierten Mediendateien den Code zum Verarbeiten dieser Inhalte dazu bringen, beliebige Dateien an jedweder von Mastodon im Dateisystem erreichbarer Stelle zu erstellen. In der Folge können sie entweder eigenen Code einschleusen oder einen Denial-of-Service provozieren (CVE-2023-36460, CVSS 9.9, Risiko "kritisch"). Die Lücke hat den Codenamen TootRoot erhalten. Zudem können bösartige Akteure mit gezielt manipulierten oEmbed-Daten die von Mastodon durchgeführte HTML-Filterung umgehen und beliebigen HTML-Code in oEmbed-Vorschaukarten einfügen. Das ermöglicht Cross-Site-Scripting-Angriffe, bei denen der eingesschleuste Code im Browser der Nutzer durch die Anzeige solch einer Vorschaukarte ausgeführt wird (CVE-2023-36459, CVSS 9.3, kritisch).

Bei ausgehenden HTTP-Anfragen setzt Mastodon ein Timeout-Wert für einzelne Lesevorgänge. Ein bösartiger Server kann die Dauer der Antworten durch einen "slowloris"-artigen Angriff für eine beliebige Zeit verlängern. Das mündet in einem Denial-of-Service (CVE-2023-36461, CVSS 7.5, hoch). Schließlich können Angreifer "verifizierte Profil"-Links so manipulieren, dass Teile davon nicht angezeigt werden. Dadurch könne ein Link aussehen, als wenn er komplett woanders hinführen würde (CVE-2023-36462, CVSS 5.4, mittel).

Die Schwachstellen bessern die Mastodon-Versionen 4.1.3, 4.0.5 sowie 3.5.9 aus. Betreiber von Mastodon-Instanzen sollten die Software zügig aktualisieren, um die Angriffsfläche zu reduzieren. Sie steht etwa im Github-Projekt von Mastodon bereit.

Mit Threads ist seit dem Donnerstag dieser Woche ein neues soziales Netzwerk verfügbar. Es soll künftig an das Fediverse angebunden werden. Nutzerinnen und Nutzer sollen sogar zwischen Threads und Mastodon-Instanzen umziehen und ihre Followerschaft dabei mitnehmen können.

(dmk)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten