Vai al contenuto principale
BlogSicurezzaBollettino di sicurezza Linode dal 3 luglio al 9 luglio 2023

Linode Security Digest dal 3 luglio al 9 luglio 2023

Digesto di sicurezza di Linode

Nel digest di questa settimana, discutiamo di due vulnerabilità critiche in Mastodon.

Avviso di sicurezza di Mastodon

Sfondo

Mastodon è un social network decentralizzato, gratuito, open source e ampiamente utilizzato con funzioni di microblogging. È considerato un'alternativa open source e decentralizzata a Twitter. Mastodon è gestito da nodi indipendenti ospitati da diverse entità su piattaforme di hosting cloud, tra cui Linode.

Vulnerabilità

Mastodon ha recentemente rilasciato le sue nuove versioni all'inizio di questa settimana, che risolvono diverse vulnerabilità, tra cui due vulnerabilità critiche: CVE-2023-36460 e CVE-2023-36459.

CVE-2023-36460: Creazione arbitraria di file attraverso gli allegati multimediali

Questa vulnerabilità, segnalata come CVE-2023-36460 e descritta in GHSA-9928, consente a un utente malintenzionato di creare e sovrascrivere file in qualsiasi posizione arbitraria a cui l'istanza di Mastodon installata ha accesso.

Le versioni vulnerabili (dalla versione 3.5.0 e precedenti alle versioni 3.5.9, 4.0.5 e 4.1.3) utilizzano input esterni per costruire un nome di percorso senza sanificare e neutralizzare correttamente gli elementi speciali all'interno del nome di percorso. Questo input esterno ha lo scopo di identificare un file o una directory al di sotto di una directory riservata. Tuttavia, non è limitato o sanificato per risolvere solo all'interno della directory specificata, consentendo così l'accesso e la scrittura al di fuori della directory ristretta tramite l'attraversamento della directory. Un exploit di questo tipo può portare a conseguenze devastanti che vanno dal Denial-of-Service all'esecuzione di codice remoto sul server Mastodon.

La vulnerabilità ha un impatto elevato ed è classificata di gravità critica, in quanto qualsiasi utente in grado di postare su un server Mastodon può sfruttare questa vulnerabilità. Inoltre, Mastodon è una piattaforma di social media e il numero di utenti che possono pubblicare post ed eseguire exploit è molto elevato.

CVE-2023-36459: XSS attraverso le schede di anteprima di oEmbed

Questa vulnerabilità, segnalata come CVE-2023-36459 e descritta sotto GHSA-ccm4, è una vulnerabilità Cross-Site Scripting (XSS) che consente a un utente malintenzionato di creare un Mastodon oEmbed data per includere HTML arbitrario nelle schede di anteprima di oEmbed, con conseguenti vari rischi associati all'interazione di un utente con un sito Web con codice sorgente non attendibile.

Le versioni vulnerabili (dalla versione 1.3 e precedenti alle versioni 3.5.9, 4.0.5 e 4.1.3) consentono a un utente malintenzionato di aggirare il processo di sanificazione dell'HTML utilizzando i dati di oEmbed. Queste versioni di Mastodon non neutralizzano correttamente l'input controllabile dall'utente nelle schede di anteprima di oEmbed prima che venga inserito nell'output come parte di una pagina web servita ad altri utenti. In questo modo, agli utenti viene servito un HTML controllato dall'aggressore. Questo exploit introduce un vettore per payload XSS che, se interagito da un utente, può eseguire codice dannoso non attendibile nel browser e nella macchina dell'utente.

La vulnerabilità ha un impatto elevato e una gravità critica, poiché qualsiasi utente in grado di creare dati oEmbed su un server mastodon può sfruttare questa vulnerabilità. Inoltre, tutti i membri di un server infetto sono suscettibili di un attacco.

Mitigazione

Nota: Mastodon può essere ospitato su Linodes tramite installazione manuale ed è offerto anche come applicazione App One Click Marketplace . Tuttavia, queste istanze non sono gestite o mantenute da Linode. Spetta agli utenti di Linode comprendere i rischi e mantenere aggiornato il software installato. Per ulteriori informazioni, consultare la nostra Guida alla distribuzione dell'app Mastodon Marketplace .

Aggiornato il 14 luglio 2023: Seguite la nostra guida della comunità sull'aggiornamento delle istanze Mastodon per assicurarvi che la vostra versione di Mastodon sia aggiornata.


Commenti

Lascia una risposta

Il vostro indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *