이번 주 다이제스트에서는 마스토돈의 중요한 취약점 두 가지에 대해 설명합니다.
마스토돈 보안 자문
배경
마스토돈은 마이크로 블로깅 기능을 갖춘 무료 오픈 소스이며 널리 사용되는 분산형 소셜 네트워크입니다. 트위터의 오픈 소스 및 분산형 대안으로 여겨지고 있습니다. 마스토돈은 리노드를 비롯한 클라우드 호스팅 플랫폼에서 다양한 주체가 호스팅하는 독립적으로 관리되는 노드를 통해 실행됩니다.
취약점
마스토돈은 이번 주 초에 두 가지 중요한 취약점을 포함한 여러 취약점을 수정한 새 버전을 출시했습니다: CVE-2023-36460 및 CVE-2023-36459.
CVE-2023-36460: 미디어 첨부 파일을 통한 임의 파일 생성
CVE-2023-36460으로 추적되고 GHSA-9928에 설명된 이 취약점은 공격자가 설치된 마스토돈 인스턴스가 액세스할 수 있는 임의의 위치에 파일을 생성하고 덮어쓸 수 있게 해줍니다.
취약한 버전(버전 3.5.0 및 버전 3.5.9, 4.0.5, 4.1.3 이전)은 외부 입력을 사용하여 경로 이름 내의 특수 요소를 적절하게 살균 및 무력화하지 않고 경로 이름을 구성합니다. 이 외부 입력은 제한된 디렉토리 아래의 파일 또는 디렉토리를 식별하기 위한 것입니다. 그러나 이 지정된 디렉터리 내에서만 확인하도록 제한되거나 살균되지 않으므로 디렉터리 탐색을 통해 제한된 디렉터리 외부에 액세스하고 쓸 수 있습니다. 이러한 익스플로잇은 마스토돈 서버에서 서비스 거부부터 원격 코드 실행에 이르기까지 치명적인 결과를 초래할 수 있습니다.
이 취약점은 마스토돈 서버에 게시물을 올릴 수 있는 모든 사용자가 이 취약점을 악용할 수 있기 때문에 영향력이 크고 심각도가 매우 높은 것으로 평가됩니다. 또한, 마스토돈은 소셜 미디어 플랫폼으로, 게시물을 작성하고 익스플로잇을 실행할 수 있는 사용자 수가 매우 많습니다.
CVE-2023-36459: oEmbed 미리보기 카드를 통한 XSS
CVE-2023-36459로 추적되고 GHSA-ccm4에 설명된 이 취약점은 공격자가 마스토돈 o임베드 데이터를 조작하여 o임베드 미리보기 카드에 임의의 HTML을 포함하도록 허용하는 크로스 사이트 스크립팅(XSS) 취약점으로, 사용자가 신뢰할 수 없는 소스 코드가 포함된 웹사이트와 상호작용할 때 다양한 위험을 초래할 수 있습니다.
취약한 버전(버전 1.3 및 버전 3.5.9, 4.0.5, 4.1.3 이전)은 공격자가 oEmbed 데이터를 사용하여 HTML 살균 프로세스를 우회할 수 있게 합니다. 이러한 버전의 마스토돈은 다른 사용자에게 제공되는 웹 페이지의 일부로 출력에 배치되기 전에 oEmbed 미리보기 카드에서 사용자가 제어할 수 있는 입력을 올바르게 무력화하지 않습니다. 따라서 공격자가 제어하는 HTML이 사용자에게 제공됩니다. 이 익스플로잇은 사용자가 상호작용할 때 사용자의 브라우저와 시스템에서 신뢰할 수 없는 악성 코드를 실행할 수 있는 XSS 페이로드의 벡터를 도입합니다.
이 취약점은 마스토돈 서버에서 oEmbed 데이터를 생성할 수 있는 모든 사용자가 이 취약점을 악용할 수 있기 때문에 영향력이 크고 심각도가 매우 높습니다. 또한 감염된 서버의 모든 구성원이 공격에 노출될 수 있습니다.
완화
- 호스팅된 마스토돈 인스턴스를 4.1.3, 4.0.5 또는 3.5.9 버전으로 업데이트하세요.
- 방문하는 마스토돈 서버가 최신 버전으로 업데이트되어 있는지 확인하세요.
참고: 마스토돈은 수동 설치를 통해 리노드에서 호스팅할 수 있으며, 또한 원클릭 Marketplace 앱. 그러나 이러한 인스턴스는 Linode에서 관리하거나 유지 관리하지 않습니다. 리노드 사용자는 위험을 이해하고 설치된 소프트웨어를 최신 상태로 유지해야 할 책임이 있습니다. 자세한 내용은 마스토돈 Marketplace 앱 배포 가이드를 참조하세요.
2023년 7월 14일 업데이트: 마스토돈 인스턴스 업그레이드에 대한 커뮤니티 가이드를 따라 마스토돈 버전을 최신 버전으로 유지하세요.
내용