在本周的摘要中,我们讨论了Mastodon的两个关键漏洞。
Mastodon安全公告
背景介绍
Mastodon是一个免费的、开源的、广泛使用的具有微博功能的分散式社交网络。它被视为Twitter的一个开源和去中心化的替代品。Mastodon通过独立管理的节点运行,这些节点由不同实体在云主机平台上托管,包括Linode。
漏洞
Mastodon最近在本周早些时候发布了其新版本,修复了多个漏洞,包括两个关键漏洞:CVE-2023-36460和CVE-2023-36459。
CVE-2023-36460:通过媒体附件任意创建文件
该漏洞被追踪为CVE-2023-36460,并在GHSA-9928下描述,允许攻击者在已安装的Mastodon实例可访问的任何任意位置创建和覆盖文件。
存在漏洞的版本(3.5.0 版及之前的 3.5.9、4.0.5 和 4.1.3 版)使用外部输入构建路径名,但未对路径名中的特殊元素进行适当的消毒和中和。这种外部输入的目的是识别受限目录下的文件或目录。但是,它没有受到限制或消毒,只能在指定目录内解析,因此允许通过目录遍历访问和写入受限目录之外的内容。这样的漏洞利用可能会在 Mastodon 服务器上导致从拒绝服务到远程代码执行的破坏性后果。
该漏洞的影响很大,被评为严重程度,因为任何能在Mastodon服务器上发帖的用户都可以利用这个漏洞。此外,Mastodon是一个社交媒体平台,能够发帖和运行漏洞的用户数量非常多。
CVE-2023-36459: 通过oEmbed预览卡的XSS问题
该漏洞被追踪为CVE-2023-36459,在GHSA-ccm4下描述,是一个跨站脚本(XSS)漏洞,允许攻击者制作Mastodon oEmbed数据,在oEmbed预览卡中包含任意HTML,导致与用户与具有不受信任的源代码的网站互动的各种风险。
存在漏洞的版本(从版本 1.3 到版本 3.5.9、4.0.5 和 4.1.3 之前)允许攻击者使用 oEmbed 数据规避 HTML 净化过程。这些版本的 Mastodon 无法在 oEmbed 预览卡中正确中和用户可控制的输入,然后再将其作为网页的一部分输出给其他用户。因此,攻击者控制的 HTML 被提供给用户。这一漏洞为 XSS 有效载荷引入了一个载体,当用户与之交互时,XSS 有效载荷可在用户的浏览器和机器上运行不受信任的恶意代码。
该漏洞具有较高的影响和严重性,因为任何能够在乳腺服务器上创建oEmbed数据的用户都可以利用这个漏洞。此外,受感染的服务器的所有成员都容易受到攻击。
缓解
- 更新您托管的 Mastodon 实例到 4.1.3、4.0.5 或 3.5.9 版本
- 确保你访问的Mastodon服务器是最新的版本
注意:Mastodon 可以通过手动安装托管在 Linodes 上,也可以作为 一键式 Marketplace 应用程序。但是,这些实例不受 Linode 的管理或维护。Linode用户有责任了解风险并使已安装的软件保持最新状态。欲了解更多信息,请查看我们的 乳齿象 Marketplace 应用部署指南。
已于 2023 年 7 月 14 日更新:按照我们的社区指南升级 Mastodon 实例以确保您的 Mastodon 版本是最新的。
注释