The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в платформе Mastodon, позволяющая выполнить код на серверах соцсети

08.07.2023 19:06

В Mastodon, платформе для создания децентрализованной социальной сети, объединяющей разрозненные серверы разных участников, выявлена критическая уязвимость (CVE-2023-36460), позволяющая создать или перезаписать произвольный файл в любом каталоге на сервере, насколько позволяют права доступа, под которыми выполняется Mastodon. Проблема может быть использована для организации выполнения своего кода на серверах, например, атакующий может разместить файл в каталоге с web-скриптами, изменить файл ~/.ssh/authorized_keys с ключами SSH или добавить автозапускаемый сценарий, такой как "~/.bashrc" или ~/.profile.

Уязвимости присвоен уровень опасности 9.9 из 10. Уязвимость вызвана ошибкой в коде обработки мультимедийных файлов и может быть эксплуатирована через прикрепление к публикации специально оформленного мультимедийного вложения. Проблема выявлена компанией Cure53, которая проводила аудит кода Mastodon по заказу компании Mozilla, которая выбрала платформу Mastodon для построения собственной социальной сети Mozilla.social.

При аудите также выявлена ещё одна критическая уязвимость (CVE-2023-36459) с уровнем опасности 9.3 из 10. Уязвимость позволяет атакующему передать специально оформленные данные oEmbed для обхода защиты от XSS-атак и добиться показа своего HTML и выполнения произвольного JavaScript кода в показанном пользователю блоке предпросмотра.

Уязвимости устранены в обновлениях 3.5.10, 4.0.6 и 4.1.4. В настоящее время объединённая социальная сеть Fediverse насчитывает более 12 тысяч узлов на базе платформы Mastodon, на которых зарегистрировано около 9 млн пользователей.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Выпуск Mastodon 3.5, платформы для создания децентрализованных социальных сетей
  3. OpenNews: Mozilla начала тестирование собственной социальной сети на базе платформы Mastodon
  4. OpenNews: Уязвимости в Netfilter и io_uring, позволяющие повысить свои привилегии в системе
  5. OpenNews: Уязвимости в VLC и GStreamer, способные привести к выполнению кода при обработке контента
  6. OpenNews: Уязвимость в Ghostscript, приводящая к выполнению кода злоумышленника
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59407-mastodon
Ключевые слова: mastodon
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (44) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 21:24, 08/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > изменить файл ~/.ssh/authorized_keys
    > 9.9 из 10

    покажите мне 10.0

     
     
  • 2.8, Аноним (8), 21:47, 08/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    10 из 10 это удаленное выполнение кода с правами суперпользователя.

    А тут как повезет, если владелец отключил вход по SSH от рута, то тебе достанется непривилегированная учётка.

     
     
  • 3.28, EuPhobos (ok), 09:37, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А тут как повезет, если владелец отключил вход по SSH от рута, то тебе достанется непривилегированная учётка.

    А если повезёт, и владелец прописал NOPASSWD: /bin/bash в sudoers, то это и будет недостающая 0.1 к 9.9

     
     
  • 4.37, Аноним (37), 13:13, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Зачем вам судно на сервере?
     
     
  • 5.43, Аноньимъ (ok), 22:51, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну у оракла спросите лучше.
     
     
  • 6.45, 1 (??), 09:28, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И у Шалворта
     
  • 2.27, Аноним (-), 08:04, 09/07/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.2, Аноним (2), 21:25, 08/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сезон охоты на инстансы mastodon открыт!
     
     
  • 2.52, Kuromi (ok), 16:28, 11/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зато какой прекрасный стимул обновиться всем всем всем!
     

  • 1.3, Аноним (3), 21:30, 08/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Респект Мозилле за безопасный подход.
     
     
  • 2.7, Аноним (7), 21:42, 08/07/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Шикуй на все донаты. Браузер у тебя уже не получился.
     
  • 2.26, soarin (ok), 06:51, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати. В прошлый раз спрашивал, но почему-то пошло под удаление, хотя вопрос серьезный.

    Как в Mozilla social с NSFW артом. Можно выкладывать? Чисто свой без копирайтных страйков от кого-то.
    ЗЫ: для знакомого спрашиваю 🤨

     
     
  • 3.53, Аноним (53), 12:24, 12/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Мопед не мой, я просто разместил объявление? : )
    По сути -- с понями, наверное, можно -- оно ж даже в тренде (еврозоны).
     
  • 2.40, fuggy (ok), 19:05, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Исследование наверно было сделано по заказу Маска, чтобы запугать убегающих их твиттер: "Вот видите, какие уязвимости в Mastodon, в твиттере таких нет. Не уходите."
     
     
  • 3.46, Аноньимъ (ok), 13:48, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Исследование наверно было сделано по заказу Маска, чтобы запугать убегающих их твиттер:
    > "Вот видите, какие уязвимости в Mastodon, в твиттере таких нет. Не
    > уходите."

    Зашёл я на этот мастодон.
    И первое что узнал так это то что:

    Today I discovered that not only is July #Disability Pride Month but also that we have a flag

    Месяц гордости инвалидности.

     
     
  • 4.48, Аноним (48), 09:39, 11/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А в твиттере и не такое пишут, ужас! (Только мы, увы, этого уже прочитать не сможем)
     
     
  • 5.51, Аноньимъ (ok), 13:09, 11/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я сразу на такую забавную выборку наткнулся из климат ченже прайд дайверсити и всего такого.

    Не знаю как главная страница свитера сейчас выглядит.

     
  • 4.49, Аноним (49), 12:09, 11/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Зашёл я на этот мастодон.

    На какой из 12 тысяч инстансов ты зашел, чудило?
    И почему у тебя так подгорает от факта, что в цивилизованном мире инвалидов тоже считают людьми?

     
     
  • 5.50, Аноньимъ (ok), 13:02, 11/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Зашёл я на этот мастодон.
    > На какой из 12 тысяч инстансов ты зашел, чудило?

    На оф сайт.

    > И почему у тебя так подгорает

    У вас с головой проблемы.
    >что в цивилизованном мире

    Большие.

    > инвалидов тоже считают людьми?

    Эм, я такого не писал, на мастодонте этом такого не пишут, и вообще, откуда вы этот бред взяли?

    С какой стати вы меня так грязно оскорбляете, и приписываете мне какие-то чудовищные вещи?

     

  • 1.4, Аноним (3), 21:34, 08/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Админ, сегодня вышел в релиз OGRE 14, графический движок с лицензией MIT.
    Предлагаю оформить как новость.
     
     
  • 2.5, Аноним (1), 21:37, 08/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    внизу справа "добаить" - жми не стесняйся
     
     
  • 3.17, Аноним (17), 22:59, 08/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    За подсказку спасибо.
     

  • 1.6, Аноним (7), 21:39, 08/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это всё потому что надо использовать Mattermost. (шутка)
     
  • 1.9, BrainFucker (ok), 21:55, 08/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Пользуясь случаем передаю привет самому упоротому участнику #fediverse iron_bug@friendica.ironbug.org
     
     
  • 2.47, Аноним (47), 21:19, 10/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Подтереть за собой не забудь
     

  • 1.11, Аноним (11), 22:02, 08/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а есть ли консольный клиент Mastodon?
     
     
  • 2.15, Аноним (15), 22:24, 08/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Есть TUI клиент.
     
     
  • 3.38, Аноним (37), 13:15, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://github.com/RasmusLindroth/tut

    Ну или емакс.

     

  • 1.16, Аноним (16), 22:52, 08/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    мастадон по сравнению с другими платформами (pleroma,akkoma,calky,misskey) просто ужасна и не нужна, ActivePub хороший протокол
     
     
  • 2.30, Аноним (30), 10:05, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А кто из других платформ умеет в OAuth? Желательно в обоих направлениях.
     

  • 1.23, Аноним (23), 01:07, 09/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Может кто-нибудь объяснить, как работают эти уязвимости? О исполнении какого кода речь? Явно ведь не машинного, это же невозможно просто, так как злоумышленник может изменить файл на сервере, просто прикрепив "неудобную" мультимедию?
     
     
  • 2.24, Аноньимъ (ok), 03:37, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >О исполнении какого кода речь? Явно ведь не машинного, это же невозможно просто

    О мой юный наивный друг, завидую я вам, вашему крепкому сну и счастливой жизни.

    >Может кто-нибудь объяснить, как работают эти уязвимости?

    Можно создать любой файл на сервере, сервер же исполняет много всяких файлов автоматически, можно их подменить, и тогда сервер запустит ваш супер вирус.

    >как злоумышленник может изменить файл на сервере, просто прикрепив "неудобную" мультимедию?

    Стоит почитать подробности уязвимости, но скорее всего там сишники отстреливают себе голову в очередной раз забыв проверить размер буфера или валидность пути в метаданных мультимедиа.

     
     
  • 3.25, soarin (ok), 06:44, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > но скорее всего там сишники

    В веб приложениях то? Смешно.

     
     
  • 4.33, Аноньимъ (ok), 11:54, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, чем там и как парсят медиаконтен ещё нужно разобраться...
     
     
  • 5.36, soarin (ok), 13:07, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так я разобрался же прежде чем писать.
    Три минуты ушло.
     
     
  • 6.39, Аноньимъ (ok), 14:49, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Так я разобрался же прежде чем писать.
    > Три минуты ушло.

    Расскажите что там происходит.

     
  • 3.31, YetAnotherOnanym (ok), 10:20, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Стоит почитать подробности уязвимости, но скорее всего там сишники

    Стоит, стоит. Однозначно стоит.
    Только там ничего не раскрывают, дают время обновится. А пока можно зайти хотя бы на вики или страницу проекта на гитхабе, чтобы посмотреть, на чём он написан.

     
     
  • 4.32, Аноньимъ (ok), 11:51, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Только там ничего не раскрывают

    Увы.

    >А пока можно зайти хотя бы на вики или страницу проекта на гитхабе, чтобы посмотреть, на чём он написан.

    Чур меня!

     
  • 3.35, Аноним (23), 12:08, 09/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >О мой юный наивный друг, завидую я вам, вашему крепкому сну и счастливой жизни.

    Ну хорошо, допустим он может исполнять машинный код, который был получен из сокета.
    Но ведь в сегменте памяти стоит RO/EXEC флаги, его же изменять нельзя во время исполнения программы. Если это не так, то реквестирую литературу/статьи, где это написано подробно. Всё дело в том, что я сейчас пишу небольшую игру, которая работает по сети и мне бы не хотелось, чтобы там были подобного рода уязвимости.

     

  • 1.29, YetAnotherOnanym (ok), 09:52, 09/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Wiki:
    > Written in Ruby on Rails, JavaScript (React.js, Redux)

    Хы... На рельсах ещё кто-то что-то пишет..

     
  • 1.34, Аноним (34), 12:03, 09/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот что значит не использовать landlock, apparmor и firejail.
     
  • 1.41, Аноним (41), 19:27, 09/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > атакующий может разместить файл в каталоге с web-скриптами, изменить файл ~/.ssh/authorized_keys с ключами SSH или добавить автозапускаемый сценарий, такой как "~/.bashrc" или ~/.profile.

    Ну разместил где-то в контейнере .bashrc. И что дальше делать? Новость писал человек без фантазии. Дырка опасна совершенно не этим, а тем, что можно всем пользователям инстанса насовать в браузер чёрт знает чего, прямо по HTTPS c «зелёным замочком».

     
     
  • 2.54, пох. (?), 12:29, 13/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    вы без контейнера уже ни пернуть, ни вдохнуть не можете вообще ничего? И про бесконечные уязвимости в ваших контейнерах (в том числе на базе переписывания файлов которые в контейнере вообще не должны писаться но вот...опять) уже и не будем. То был бы хоть юзер www, а теперь сразу рут. s for security

    > можно всем пользователям инстанса насовать в браузер чёрт знает чего, прямо по HTTPS c «зелёным
    > замочком»

    владелец инстанса мог это сделать совершенно без необходимости лазить через дырки.
    А вот теперь его и самого могут слегка поиметь.


     

  • 1.44, Аноним (44), 00:29, 10/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это не баг, а фича.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру