Dans le bulletin de cette semaine, nous discutons de deux vulnérabilités critiques dans Mastodon.
Avis de sécurité Mastodon
Contexte
Mastodon est un réseau social décentralisé gratuit, open source et largement utilisé, doté de fonctions de microblogging. Il est considéré comme une alternative open source et décentralisée à Twitter. Mastodon est géré par des nœuds indépendants hébergés par différentes entités sur des plateformes d'hébergement en nuage, notamment Linode.
Vulnérabilités
Mastodon a récemment publié ses nouvelles versions en début de semaine, qui corrigent de nombreuses vulnérabilités, y compris deux vulnérabilités critiques : CVE-2023-36460 et CVE-2023-36459.
CVE-2023-36460 : Création arbitraire de fichiers par le biais de pièces jointes
Cette vulnérabilité, répertoriée sous le nom de CVE-2023-36460 et décrite sous GHSA-9928, permet à un attaquant de créer et d'écraser des fichiers dans n'importe quel emplacement arbitraire auquel l'instance de Mastodon installée a accès.
Les versions vulnérables (à partir de la version 3.5.0 et avant les versions 3.5.9, 4.0.5 et 4.1.3) utilisent des entrées externes pour construire un nom de chemin sans nettoyer et neutraliser correctement les éléments spéciaux dans le nom de chemin. Cette entrée externe est destinée à identifier un fichier ou un répertoire situé sous un répertoire restreint. Cependant, elle n'est pas limitée ou assainie pour ne résoudre que le répertoire spécifié, ce qui permet d'accéder et d'écrire en dehors du répertoire restreint par le biais d'une exploration de répertoire. Un tel exploit peut avoir des conséquences dévastatrices allant du déni de service à l'exécution de code à distance sur le serveur Mastodon.
La vulnérabilité a un impact élevé et est classée comme ayant une gravité critique, car tout utilisateur qui peut poster sur un serveur Mastodon peut exploiter cette vulnérabilité. En outre, Mastodon est une plateforme de médias sociaux, et le nombre d'utilisateurs qui peuvent publier des messages et exécuter des exploits est très élevé.
CVE-2023-36459 : XSS à travers les cartes de prévisualisation de oEmbed
Cette vulnérabilité, répertoriée sous le nom de CVE-2023-36459 et décrite sous GHSA-ccm4, est une vulnérabilité de type Cross-Site Scripting (XSS) qui permet à un attaquant de créer des données oEmbed Mastodon afin d'inclure du HTML arbitraire dans les cartes de prévisualisation oEmbed, ce qui entraîne divers risques liés à l'interaction d'un utilisateur avec un site web dont le code source n'est pas fiable.
Les versions vulnérables (à partir de la version 1.3 et avant les versions 3.5.9, 4.0.5, et 4.1.3) permettent à un attaquant de contourner le processus d'assainissement HTML en utilisant des données oEmbed. Ces versions de Mastodon ne neutralisent pas correctement les données contrôlables par l'utilisateur dans les cartes de prévisualisation oEmbed avant qu'elles ne soient placées en sortie en tant que partie d'une page web servie à d'autres utilisateurs. Ainsi, un code HTML contrôlé par l'attaquant est servi aux utilisateurs. Cet exploit introduit un vecteur pour les charges utiles XSS qui, lorsqu'elles sont utilisées par un utilisateur, peuvent exécuter un code malveillant non fiable dans le navigateur et la machine de l'utilisateur.
La vulnérabilité a un impact élevé et une sévérité critique, car tout utilisateur qui peut créer des données oEmbed sur un serveur mastodonte peut exploiter cette vulnérabilité. De plus, tous les membres d'un serveur infecté sont susceptibles d'être attaqués.
Atténuation
- Mettez à jour vos instances Mastodon hébergées vers les versions 4.1.3, 4.0.5, ou 3.5.9.
- Assurez-vous que les serveurs Mastodon que vous visitez sont à jour avec la dernière version.
Note : Mastodon peut être hébergé sur Linodes via une installation manuelle et est également proposé en tant que Application en un clic Marketplace . Cependant, ces instances ne sont pas gérées ou maintenues par Linode. Il incombe aux utilisateurs de Linode de comprendre les risques et de maintenir le logiciel installé à jour. Pour plus d'informations, consultez notre guide de déploiement de l'application Mastodon Marketplace .
Mise à jour le 14 juillet 2023 : Suivez notre guide communautaire sur la mise à jour des instances Mastodon pour vous assurer que votre version de Mastodon est à jour.
Commentaires