Siber Muhbir

Bakımcılar, "Tüm Mastodon'daki yetersiz kaynak doğrulaması nedeniyle, saldırganlar herhangi bir uzak hesabın kimliğine bürünebilir ve ele geçirebilir" dedi.

CVE-2024-23832 olarak izlenen güvenlik açığı, maksimum 10 üzerinden 9,4 önem derecesine sahip. Güvenlik araştırmacısı arcanicanis, bunu keşfetmesi ve bildirmesiyle tanındı.

Bu, genellikle bir saldırganın "kaynak tarafından yanlışlıkla erişilebilen herhangi bir işlevselliğe erişmesine" izin verebilen bir "kaynak doğrulama hatası" (CWE-346) olarak tanımlanmıştır.

3.5.17'den önceki tüm Mastodon sürümleri, 4.0.13'ten önceki 4.0.x sürümleri, 4.1.13'ten önceki 4.1.x sürümleri ve 4.2.5'ten önceki 4.2.x sürümleri savunmasızdır.

Mastodon, yöneticilere sunucu örneklerini güncellemek ve istismar olasılığını önlemek için yeterli zaman vermek için 15 Şubat 2024'e kadar kusurla ilgili ek teknik ayrıntıları sakladığını söyledi.

"Herhangi bir miktarda ayrıntı, bir istismar bulmayı çok kolaylaştıracaktır" dedi.

Platformun birleşik yapısı, yerel olarak uygulanan kendi kurallarını ve düzenlemelerini oluşturan ilgili yöneticiler tarafından bağımsız olarak barındırılan ve işletilen ayrı sunucularda (diğer adıyla örnekler) çalıştığı anlamına gelir.

Bu aynı zamanda her örneğin benzersiz bir davranış kurallarına, hizmet şartlarına, gizlilik politikasına ve içerik denetleme yönergelerine sahip olmasının yanı sıra, örnekleri potansiyel risklere karşı korumak için her yöneticinin güvenlik güncellemelerini zamanında uygulamasını gerektirdiği anlamına gelir.

Açıklama, Mastodon'un düşmanlar tarafından hizmet reddine (DoS) neden olmak veya uzaktan kod yürütmeyi sağlamak için silah haline getirilmiş olabilecek diğer iki kritik kusuru (CVE-2023-36460 ve 2023-36459) ele almasından yaklaşık yedi ay sonra geldi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.