Ir al contenido principal
BlogSeguridadLinode Dosier de seguridad del 3 de julio al 9 de julio de 2023

Linode Compendio de seguridad del 3 de julio al 9 de julio de 2023

Linode Security Digest

En el resumen de esta semana, analizamos dos vulnerabilidades críticas en Mastodon.

Aviso de seguridad sobre Mastodon

Fondo

Mastodon es una red social descentralizada, gratuita, de código abierto y ampliamente utilizada, con funciones de microblogging. Se considera una alternativa descentralizada y de código abierto a Twitter. Mastodon funciona a través de nodos gestionados de forma independiente y alojados por diferentes entidades en plataformas de alojamiento en la nube, como Linode.

Vulnerabilidades

Mastodon publicó recientemente sus nuevas versiones a principios de esta semana, que corrigen múltiples vulnerabilidades, incluidas dos vulnerabilidades críticas: CVE-2023-36460 y CVE-2023-36459.

CVE-2023-36460: Creación arbitraria de archivos a través de archivos multimedia adjuntos

Esta vulnerabilidad, rastreada como CVE-2023-36460 y descrita en GHSA-9928, permite a un atacante crear y sobrescribir archivos en cualquier ubicación arbitraria a la que tenga acceso la instancia de Mastodon instalada.

Las versiones vulnerables (desde la versión 3.5.0 y anteriores a las versiones 3.5.9, 4.0.5 y 4.1.3) utilizan entradas externas para construir un nombre de ruta sin sanear y neutralizar adecuadamente los elementos especiales dentro del nombre de ruta. Esta entrada externa pretende identificar un archivo o directorio por debajo de un directorio restringido. Sin embargo, no está limitado o saneado para resolver sólo dentro de este directorio especificado, lo que permite el acceso y la escritura fuera del directorio restringido a través de directory traversal. Un exploit de este tipo puede tener consecuencias devastadoras que van desde la Denegación de Servicio hasta la Ejecución Remota de Código en el servidor Mastodon.

La vulnerabilidad tiene un alto impacto y está clasificada como de gravedad crítica, ya que cualquier usuario que pueda publicar en un servidor de Mastodon puede explotar esta vulnerabilidad. Además, Mastodon es una plataforma de medios sociales, y el número de usuarios que pueden hacer publicaciones y ejecutar exploits es muy alto.

CVE-2023-36459: XSS a través de tarjetas de vista previa oEmbed

Esta vulnerabilidad, rastreada como CVE-2023-36459 y descrita bajo GHSA-ccm4, es una vulnerabilidad de Cross-Site Scripting (XSS) que permite a un atacante manipular los datos de Mastodon oEmbed para incluir HTML arbitrario en las tarjetas de vista previa de oEmbed, resultando en varios riesgos asociados con un usuario interactuando con un sitio web con código fuente no confiable.

Las versiones vulnerables (desde la versión 1.3 y anteriores hasta las versiones 3.5.9, 4.0.5 y 4.1.3) permiten a un atacante eludir el proceso de sanitización HTML utilizando datos oEmbed. Estas versiones de Mastodon no neutralizan correctamente la entrada controlada por el usuario en las tarjetas de vista previa de oEmbed antes de que se coloque en la salida como parte de una página web servida a otros usuarios. De este modo, se sirve a los usuarios un HTML controlado por el atacante. Este exploit introduce un vector para cargas útiles XSS que, cuando interactúan con un usuario, pueden ejecutar código malicioso no fiable en el navegador y la máquina del usuario.

La vulnerabilidad tiene un alto impacto y gravedad crítica, ya que cualquier usuario que pueda crear datos oEmbed en un servidor mastodóntico puede explotar esta vulnerabilidad. Además, todos los miembros de un servidor infectado son susceptibles de sufrir un ataque.

Mitigación

Nota: Mastodon puede alojarse en Linodes mediante instalación manual y también se ofrece como una One Click Marketplace App. Sin embargo, estas instancias no son gestionadas ni mantenidas por Linode. Corresponde a los usuarios de Linode comprender los riesgos y mantener actualizado el software instalado. Para obtener más información, consulte nuestra Guía de implementación de la aplicación Mastodon Marketplace .

Actualizado el 14 de julio de 2023: Siga nuestra guía de la comunidad sobre la actualización de las instancias de Mastodon para asegurarse de que su versión de Mastodon está actualizada.


Comentarios

Dejar una respuesta

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *.