Pular para o conteúdo principal
BlogSegurançaLinode Security Digest 3 de julho a 9 de julho de 2023

Linode Security Digest 3 de julho a 9 de julho de 2023

Linode Security Digest

No resumo desta semana, discutimos duas vulnerabilidades críticas no Mastodon.

Aviso de segurança do Mastodon

Antecedentes

O Mastodon é uma rede social descentralizada, gratuita, de código aberto e amplamente utilizada, com recursos de microblogging. Ela é vista como uma alternativa descentralizada e de código aberto ao Twitter. O Mastodon é executado por meio de nós gerenciados de forma independente, hospedados por diferentes entidades em plataformas de hospedagem em nuvem, incluindo a Linode.

Vulnerabilidades

O Mastodon lançou recentemente suas novas versões no início desta semana, que corrigem várias vulnerabilidades, incluindo duas vulnerabilidades críticas: CVE-2023-36460 e CVE-2023-36459.

CVE-2023-36460: Criação arbitrária de arquivos por meio de anexos de mídia

Essa vulnerabilidade, registrada como CVE-2023-36460 e descrita em GHSA-9928, permite que um invasor crie e substitua arquivos em qualquer local arbitrário ao qual a instância do Mastodon instalada tenha acesso.

As versões vulneráveis (a partir da versão 3.5.0 e anteriores às versões 3.5.9, 4.0.5 e 4.1.3) usam entradas externas para construir um nome de caminho sem higienizar e neutralizar adequadamente os elementos especiais dentro do nome do caminho. Essa entrada externa tem o objetivo de identificar um arquivo ou diretório abaixo de um diretório restrito. No entanto, ela não é limitada ou higienizada para ser resolvida somente dentro desse diretório especificado, permitindo, assim, o acesso e a gravação fora do diretório restrito por meio da passagem de diretório. Essa exploração pode levar a consequências devastadoras que vão desde a negação de serviço até a execução remota de código no servidor Mastodon.

A vulnerabilidade tem um alto impacto e é classificada como de gravidade crítica, pois qualquer usuário que possa postar em um servidor Mastodon pode explorar essa vulnerabilidade. Além disso, o Mastodon é uma plataforma de mídia social, e o número de usuários que podem fazer publicações e executar explorações é muito alto.

CVE-2023-36459: XSS por meio de cartões de visualização do oEmbed

Essa vulnerabilidade, rastreada como CVE-2023-36459 e descrita em GHSA-ccm4, é uma vulnerabilidade de XSS (Cross-Site Scripting) que permite que um invasor crie dados do Mastodon oEmbed para incluir HTML arbitrário em cartões de visualização do oEmbed, resultando em vários riscos associados à interação de um usuário com um site com código-fonte não confiável.

As versões vulneráveis (da versão 1.3 e anteriores às versões 3.5.9, 4.0.5 e 4.1.3) permitem que um invasor contorne o processo de sanitização de HTML usando dados do oEmbed. Essas versões do Mastodon não neutralizam corretamente a entrada controlável pelo usuário nos cartões de visualização do oEmbed antes de ser colocada na saída como parte de uma página da Web servida a outros usuários. Assim, um HTML controlado por um invasor é apresentado aos usuários. Essa exploração introduz um vetor para cargas úteis de XSS que, quando interagidas por um usuário, podem executar códigos maliciosos não confiáveis no navegador e no computador do usuário.

A vulnerabilidade tem um alto impacto e gravidade crítica, pois qualquer usuário que possa criar dados oEmbed em um servidor mastodon pode explorar essa vulnerabilidade. Além disso, todos os membros de um servidor infectado são suscetíveis a um ataque.

Mitigação

Nota: Mastodon pode ser hospedado em Linodes através de instalação manual e também é oferecido como um Um clique Marketplace Aplicativo. No entanto, essas instâncias não são gerenciadas ou mantidas pela Linode. Cabe aos usuários da Linode entender os riscos e manter o software instalado atualizado. Para mais informações, confira nossas Mastodonte Marketplace Guia de Implantação de Aplicativos.

Atualizado em 14 de julho de 2023: Siga nosso guia da comunidade sobre atualização de instâncias do Mastodon para garantir que sua versão do Mastodon esteja atualizada.

Comentários

Deixe uma resposta

Seu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com *