Mạng xã hội Mastodon vá các lỗi nghiêm trọng cho phép tiếp quản máy chủ

08/07/2023 Bảo Mật 2 Views

ngày 07 tháng 7 năm 2023Swati KhandelwalLỗ hổng /

Mạng xã hội voi răng mấu

Mastodon, một mạng xã hội phi tập trung phổ biến, đã phát hành bản cập nhật bảo mật để khắc phục các lỗ hổng nghiêm trọng có thể khiến hàng triệu người dùng có nguy cơ bị tấn công.

Mastodon được biết đến với mô hình liên kết, bao gồm hàng nghìn máy chủ riêng biệt được gọi là “phiên bản” và có hơn 14 triệu người dùng trên hơn 20.000 phiên bản.

Lỗ hổng nghiêm trọng nhất, CVE-2023-36460, cho phép tin tặc khai thác lỗ hổng trong tính năng tệp đính kèm phương tiện, tạo và ghi đè tệp ở bất kỳ vị trí nào mà phần mềm có thể truy cập trên một phiên bản.

Lỗ hổng phần mềm này có thể được sử dụng cho DoS và các cuộc tấn công mã từ xa tùy ý, gây ra mối đe dọa đáng kể cho người dùng và hệ sinh thái Internet rộng lớn hơn.

Nếu kẻ tấn công giành quyền kiểm soát nhiều phiên bản, chúng có thể gây hại bằng cách hướng dẫn người dùng tải xuống các ứng dụng độc hại hoặc thậm chí đánh sập toàn bộ cơ sở hạ tầng Mastodon. May mắn thay, không có bằng chứng về lỗ hổng này được khai thác cho đến nay.

Lỗ hổng nghiêm trọng được phát hiện như một phần của sáng kiến ​​thử nghiệm thâm nhập toàn diện được tài trợ bởi Mozilla Foundation và được thực hiện bởi Cure53.

Xem tiếp:   Làm thế nào thử nghiệm bút có thể làm giảm nhẹ tác động của chi phí bảo hiểm mạng ngày càng tăng

Bản phát hành bản vá gần đây đã giải quyết năm lỗ hổng, bao gồm một vấn đề nghiêm trọng khác được theo dõi là CVE-2023-36459. Lỗ hổng này có thể cho phép kẻ tấn công đưa HTML tùy ý vào thẻ xem trước oEmbed, bỏ qua quy trình khử trùng HTML của Mastodon.

Do đó, điều này đã giới thiệu một vectơ cho tải trọng Cross-Site Scripting (XSS) có thể thực thi mã độc hại khi người dùng nhấp vào thẻ xem trước được liên kết với các liên kết độc hại.

HỘI THẢO TRỰC TUYẾN SẮP TỚI

🔐 Quản lý quyền truy cập đặc quyền: Tìm hiểu cách chinh phục những thách thức chính

Khám phá các cách tiếp cận khác nhau để chinh phục các thử thách Quản lý tài khoản đặc quyền (PAM) và tăng cấp cho chiến lược bảo mật truy cập đặc quyền của bạn.

Đặt chỗ của bạn

Ba lỗ hổng còn lại được phân loại ở mức độ nghiêm trọng cao và trung bình. Chúng bao gồm “Chèn LDAP mù khi đăng nhập”, cho phép kẻ tấn công trích xuất các thuộc tính tùy ý từ cơ sở dữ liệu LDAP, “Từ chối dịch vụ thông qua phản hồi HTTP chậm” và sự cố định dạng với “Liên kết hồ sơ đã xác minh”. Mỗi lỗ hổng này đặt ra các mức độ rủi ro khác nhau cho người dùng Mastodon.

Để tự bảo vệ mình, người dùng Mastodon chỉ cần đảm bảo rằng phiên bản đã đăng ký của họ đã cài đặt kịp thời các bản cập nhật cần thiết.

Xem tiếp:   Google cho thấy 'Nhà môi giới truy cập ban đầu' làm việc với Conti Ransomware Gang

Related Posts

Tags

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / tấn công mạng Hơn một …

Powered by TOIYEUIT
© Copyright 2024, All Rights Reserved