Fediverse: Kritische SicherheitslĂĽcken in Mastodon-Software abgedichtet
Betreiber von Mastodon-Instanzen mĂĽssen die Server aktualisieren. Ă„ltere Versionen bringen kritische SicherheitslĂĽcken mit, die etwa Codeschmuggel erlauben.
Gleich vier Sicherheitslücken schließen die Entwickler in der Mastodon-Software. Zwei davon gelten sogar als kritisch und erlauben das Einschmuggeln und Ausführen von Schadcode. Am Ende können Angreifer die Mastodon-Server kompromittieren.
Mastodon: Kritische LĂĽcken
Angreifer können mit sorgsam präparierten Mediendateien den Code zum Verarbeiten dieser Inhalte dazu bringen, beliebige Dateien an jedweder von Mastodon im Dateisystem erreichbarer Stelle zu erstellen. In der Folge können sie entweder eigenen Code einschleusen oder einen Denial-of-Service provozieren (CVE-2023-36460, CVSS 9.9, Risiko "kritisch"). Die Lücke hat den Codenamen TootRoot erhalten. Zudem können bösartige Akteure mit gezielt manipulierten oEmbed-Daten die von Mastodon durchgeführte HTML-Filterung umgehen und beliebigen HTML-Code in oEmbed-Vorschaukarten einfügen. Das ermöglicht Cross-Site-Scripting-Angriffe, bei denen der eingesschleuste Code im Browser der Nutzer durch die Anzeige solch einer Vorschaukarte ausgeführt wird (CVE-2023-36459, CVSS 9.3, kritisch).
Bei ausgehenden HTTP-Anfragen setzt Mastodon ein Timeout-Wert für einzelne Lesevorgänge. Ein bösartiger Server kann die Dauer der Antworten durch einen "slowloris"-artigen Angriff für eine beliebige Zeit verlängern. Das mündet in einem Denial-of-Service (CVE-2023-36461, CVSS 7.5, hoch). Schließlich können Angreifer "verifizierte Profil"-Links so manipulieren, dass Teile davon nicht angezeigt werden. Dadurch könne ein Link aussehen, als wenn er komplett woanders hinführen würde (CVE-2023-36462, CVSS 5.4, mittel).
Die Schwachstellen bessern die Mastodon-Versionen 4.1.3, 4.0.5 sowie 3.5.9 aus. Betreiber von Mastodon-Instanzen sollten die Software zügig aktualisieren, um die Angriffsfläche zu reduzieren. Sie steht etwa im Github-Projekt von Mastodon bereit.
Mit Threads ist seit dem Donnerstag dieser Woche ein neues soziales Netzwerk verfügbar. Es soll künftig an das Fediverse angebunden werden. Nutzerinnen und Nutzer sollen sogar zwischen Threads und Mastodon-Instanzen umziehen und ihre Followerschaft dabei mitnehmen können.
(dmk)