Бесплатно Экспресс-аудит сайта:

10.07.2023

Без тени страха: Mastodon активно борется с критическими уязвимостями

Пользователи Mastodon , популярной децентрализованной социальной сети, могут спать спокойно, зная, что разработчики выпустили обновление безопасности, которое исправляет ряд критических уязвимостей. Эти уязвимости могли подвергнуть опасности миллионы пользователей и нарушить работу всей сети. Mastodon отличается от других социальных сетей своей децентрализованной моделью, в которой каждый пользователь может выбирать один из тысяч отдельных серверов, называемых “инстанциями”. На данный момент в Mastodon зарегистрировано более 14 миллионов пользователей на более чем 20 тысячах инстанций.

Одна из самых опасных уязвимостей, CVE-2023-36460 , позволяла хакерам эксплуатировать ошибку в функции медиавложений, что могло привести к созданию и перезаписи файлов на устройстве пользователя. В результате успешной эксплуатации удаленный хакер мог выполнить произвольный код на устройстве пользователя. что представляло серьезную угрозу не только для пользователей Mastodon, но и для всего интернет-сообщества. Если бы злоумышленник получил контроль над несколькими инстанциями, он мог бы нанести еще больший вред, заставляя пользователей скачивать вредоносные приложения или даже вывести из строя всю инфраструктуру Mastodon. К счастью, таких случаев не зафиксировано.

Критическая уязвимость была обнаружена в ходе комплексного тестирования на проникновение, которое было проведено компанией Cure53 при поддержке Фонда Mozilla. В рамках обновления безопасности были исправлены еще четыре уязвимости, в том числе другая критическая проблема с кодом CVE-2023-36459 . Эта проблема заключалась в том, что злоумышленники могли внедрять произвольный HTML-код в карточки предварительного просмотра oEmbed, обходя процесс очистки HTML-кода Mastodon. В результате удаленный злоумышленных мог выполнить вредоносный код при нажатии пользователем на карточки предварительного просмотра.

Остальные три уязвимости имели высокий и средний уровень опасности. Первая из них “Слепая LDAP-инъекция при входе”, позволяла злоумышленникам извлекать произвольные данные из базы данных LDAP. Еще две “Отказ в обслуживании через медленные HTTP-ответы” и проблемы форматирования с “Проверенными ссылками профиля”. Каждая из этих проблем представляла разный уровень риска для пользователей Mastodon.

Для того, чтобы защитить себя от этих уязвимостей, пользователям Mastodon достаточно убедиться, что их выбранная инстанция установила необходимые обновления вовремя.