Datenleck: Mastodon-Lücke erlaubt Informationsabfluss
Aktualisierte Mastodon-Pakete dichten ein Datenleck in der LDAP-Authentifizierung ab. Administratorinnen und Administratoren sollten die Updates zügig anwenden.
![Barcelona,,Spain,-,07,November,2022:,The,Mastodon,Homepage,Is](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/4/1/1/5/4/6/6/shutterstock_2223933877-054c7906f859606b.jpeg)
(Bild: davide bonaldo/Shutterstock.com)
Das soziale Netz Mastodon basiert auf der gleichnamigen Software für Server. Darin hätten Angreifer aufgrund mangelhafter Filterung von übergebenen Daten bei der LDAP-Authentifizerung einzelne Informationen auslesen können.
In der Sicherheitsmeldung schreiben die Entdecker der Schwachstelle, dass der Nutzername nicht gefiltert werde und sich so eine LDAP-Datenbank-Abfrage einschleusen lasse. Stückweise ließen sich so Informationen zu Nutzern auslesen. Der Proof-of-Concept-Beschreibung ist zu entnehmen, dass es immerhin nicht gelungen ist, darüber an Passwort-Hashes zu gelangen (CVE-2023-28853, CVSS 7.7, Risiko "hoch").
Mastodon: Beliebige Nutzer-Attribute aus LDAP-Datenbank einsehbar
Die Entdecker beschreiben die Lücke daher auch als LDAP-Injection-Schwachstelle beim Log-in. Sie macht Angreifern beliebige Nutzer-Attribute aus der LDAP-Datenbank zugänglich.
Betroffen sind Mastodon-Versionen ab 2.5.0. Die Sicherheitslücken haben die Entwickler in den Fassungen 4.1.2, 4.0.4 sowie 3.5.8 geschlossen.
Die Release-Notes zu den drei neuen Mastodon-Versionen erwähnen die Schwachstelle und liefern als Sicherheitsupdate noch Ruby in der Fassung 3.0.6 mit. Vorherige Versionen enthielten eine ReDoS-Sicherheitslücke. Administratoren einer Mastodon-Instanz sollten die aktualisierten Fassungen zügig installieren, da die Entwickler die damit geschlossene Schwachstelle als hochriskant einstufen.
Vor einigen Wochen wurde bekannt, dass ein Konfigurationsfehler bei der Mastodon.social-Instanz zu einem Datenleck führte. Es handelte sich jedoch um "menschliche Fehler": Im Zuge der Erweiterung von Hardware und Software bei Mastodon.social war ein Archivserver mehrere Wochen für alle User einsehbar.
(dmk)