zurück zum Artikel

Datenleck: Mastodon-Lücke erlaubt Informationsabfluss

Dirk Knop
Barcelona,,Spain,-,07,November,2022:,The,Mastodon,Homepage,Is

(Bild: davide bonaldo/Shutterstock.com)

Aktualisierte Mastodon-Pakete dichten ein Datenleck in der LDAP-Authentifizierung ab. Administratorinnen und Administratoren sollten die Updates zügig anwenden.

Das soziale Netz Mastodon basiert auf der gleichnamigen Software für Server. Darin hätten Angreifer aufgrund mangelhafter Filterung von übergebenen Daten bei der LDAP-Authentifizerung einzelne Informationen auslesen können.

In der Sicherheitsmeldung schreiben die Entdecker [1] der Schwachstelle, dass der Nutzername nicht gefiltert werde und sich so eine LDAP-Datenbank-Abfrage einschleusen lasse. Stückweise ließen sich so Informationen zu Nutzern auslesen. Der Proof-of-Concept-Beschreibung ist zu entnehmen, dass es immerhin nicht gelungen ist, darüber an Passwort-Hashes zu gelangen (CVE-2023-28853, CVSS 7.7, Risiko "hoch").

Mastodon: Beliebige Nutzer-Attribute aus LDAP-Datenbank einsehbar

Die Entdecker beschreiben die Lücke daher auch als LDAP-Injection-Schwachstelle beim Log-in. Sie macht Angreifern beliebige Nutzer-Attribute aus der LDAP-Datenbank zugänglich.

Betroffen sind Mastodon-Versionen ab 2.5.0. Die Sicherheitslücken haben die Entwickler in den Fassungen 4.1.2, 4.0.4 sowie 3.5.8 geschlossen.

Die Release-Notes zu den drei neuen Mastodon-Versionen [2] erwähnen die Schwachstelle und liefern als Sicherheitsupdate noch Ruby in der Fassung 3.0.6 mit. Vorherige Versionen enthielten eine ReDoS-Sicherheitslücke. Administratoren einer Mastodon-Instanz sollten die aktualisierten Fassungen zügig installieren, da die Entwickler die damit geschlossene Schwachstelle als hochriskant einstufen.

Vor einigen Wochen wurde bekannt, dass ein Konfigurationsfehler bei der Mastodon.social-Instanz zu einem Datenleck [3] führte. Es handelte sich jedoch um "menschliche Fehler": Im Zuge der Erweiterung von Hardware und Software bei Mastodon.social war ein Archivserver mehrere Wochen für alle User einsehbar.

(dmk [4])

URL dieses Artikels:
https://www.heise.de/-8645580

Links in diesem Artikel:
[1] https://github.com/mastodon/mastodon/security/advisories/GHSA-38g9-pfm9-gfqv
[2] https://github.com/mastodon/mastodon/releases
[3] https://www.heise.de/news/Konfigurationsfehler-fuehrt-zu-Datenleck-bei-Mastodon-7550217.html
[4] mailto:dmk@heise.de

Copyright © 2023 Heise Medien