Mastodon: Sicherheitslücke ermöglicht unbefugten Zugriff auf Posts
Betreiber von Mastodon-Instanzen sollten zügig ihre Serversoftware aktualisieren. Eine hochriskant Lücke erlaubt unbefugten Zugriff auf Posts.
Neue Versionen der Mastodon-Serversoftware schließen eine als hochriskant eingestufte Sicherheitslücke. Angreifer können sich unbefugten Zugriff auf Posts verschaffen.
Durch das Anlegen bestimmter, nicht näher genannter Aktivitäten können Angreifer das Publikum eines Beitrags, der nicht von ihnen stammt, auf andere Mastodon-Benutzer auf einem Zielserver ausweiten. So bekommen sie Zugriff auf den Inhalt eines Beitrags, der nicht für sie bestimmt ist (CVE-2024-37903, CVSS 8.2, Risiko "hoch"). Nähere Details wollen die Mastodon-Entwickler laut Sicherheitsmitteilung am Montag kommender Woche, den 15. Juli, veröffentlichen.
Viele Mastodon-Versionen betroffen
Der Fehler tritt demnach ab Mastodon 2.6.0 auf. Die Entwickler haben die Versionen Mastodon 4.2.10 sowie 4.1.18 veröffentlicht. Die sollen die Sicherheitslücke abdichten. Das Changelog zu Mastodon 4.2.10 listet neben dieser auch weitere Sicherheitsprobleme auf, die die neue Version behebt. Diese haben jedoch keinen CVE-Eintrag erhalten. Dieselben Korrekturen haben auch in Mastodon 4.1.18 Einzug gehalten.
Einer der weiteren korrigierten Fehler, die der Sicherheit abträglich sind, betrifft die Rechteprüfung mehrere API-Endpunkte. Sie findet zwar statt, aber unzureichend – dadurch konnten etwa Anwendungstoken genutzt werden, die Token mussten nicht zu konkreten Nutzern gehören.
Betreiber von Mastodon-Instanzen sollten die verfügbaren Aktualisierungen zeitnah herunterladen und installieren, um die Inhalte der Nutzer vor unbefugten Zugriffen zu schützen.
Mastodon hat bereits öfter Sicherheitslücken schließen müssen. Im Februar wurde etwa bekannt, dass Angreifer beliebige Konten hatten übernehmen oder fälschen können.
(dmk)