bencede
New member
Geliştiriciler, Mastodon yazılımındaki dört güvenlik açığını kapatıyor. Hatta ikisi kritik kabul ediliyor ve kötü niyetli kodun girilmesine ve yürütülmesine izin veriyor. Sonunda, saldırganlar Mastodon sunucularını tehlikeye atabilir.
Duyuru
Mastodon: kritik boşluklar
Saldırganlar, özenle hazırlanmış medya dosyalarıyla, dosya sisteminde Mastodon’un ulaşabileceği herhangi bir yerde rasgele dosyalar oluşturarak bu içeriği işleyen kodu kandırabilir. Sonuç olarak, kendi kodlarını ekleyebilir veya hizmet reddine yol açabilirler (CVE-2023-36460, CVSS 9.9risk”eleştirmenEk olarak, özel olarak manipüle edilmiş oEmbed verilerine sahip kötü niyetli aktörler, Mastodon tarafından gerçekleştirilen HTML filtresini atlayabilir ve oEmbed önizleme kartlarına rastgele HTML kodu ekleyebilir. harita (CVE-2023-36459, CVSS 9.3, eleştirmen).
Giden HTTP istekleri için Mastodon, tekli okumalar için bir zaman aşımı değeri ayarlar. Kötü amaçlı bir sunucu, “slowloris” tarzı bir saldırı yoluyla yanıt sürelerini süresiz olarak uzatabilir. Bu, hizmet reddine yol açar (CVE-2023-36461, CVSS 7.5, yüksek). Son olarak, saldırganlar “doğrulanmış profil” bağlantılarını bazı bölümlerinin görüntülenmemesi için manipüle edebilir. Bu, bir bağlantının başka bir yere gidiyormuş gibi görünmesine neden olabilir (CVE-2023-36462, CVSS 5.4, yarım).
Mastodon 4.1.3, 4.0.5 ve 3.5.9 sürümleri güvenlik açıklarını düzeltir. Mastodon örneklerinin operatörleri, saldırı yüzeyini azaltmak için yazılımlarını hızlı bir şekilde güncellemelidir. Örneğin, Mastodon Github projesinde mevcuttur.
Bu haftanın Perşembe gününden bu yana yeni bir sosyal ağ olan Threads kullanıma sunuldu. Gelecekte Fedverse ile bağlantılı olacak. Kullanıcılar ayrıca başlıklar ve mamut örnekleri arasında hareket edebilmeli ve takipçilerini yanlarında getirebilmelidir.
(dmk)
Haberin Sonu
Duyuru
Mastodon: kritik boşluklar
Saldırganlar, özenle hazırlanmış medya dosyalarıyla, dosya sisteminde Mastodon’un ulaşabileceği herhangi bir yerde rasgele dosyalar oluşturarak bu içeriği işleyen kodu kandırabilir. Sonuç olarak, kendi kodlarını ekleyebilir veya hizmet reddine yol açabilirler (CVE-2023-36460, CVSS 9.9risk”eleştirmenEk olarak, özel olarak manipüle edilmiş oEmbed verilerine sahip kötü niyetli aktörler, Mastodon tarafından gerçekleştirilen HTML filtresini atlayabilir ve oEmbed önizleme kartlarına rastgele HTML kodu ekleyebilir. harita (CVE-2023-36459, CVSS 9.3, eleştirmen).
Giden HTTP istekleri için Mastodon, tekli okumalar için bir zaman aşımı değeri ayarlar. Kötü amaçlı bir sunucu, “slowloris” tarzı bir saldırı yoluyla yanıt sürelerini süresiz olarak uzatabilir. Bu, hizmet reddine yol açar (CVE-2023-36461, CVSS 7.5, yüksek). Son olarak, saldırganlar “doğrulanmış profil” bağlantılarını bazı bölümlerinin görüntülenmemesi için manipüle edebilir. Bu, bir bağlantının başka bir yere gidiyormuş gibi görünmesine neden olabilir (CVE-2023-36462, CVSS 5.4, yarım).
Mastodon 4.1.3, 4.0.5 ve 3.5.9 sürümleri güvenlik açıklarını düzeltir. Mastodon örneklerinin operatörleri, saldırı yüzeyini azaltmak için yazılımlarını hızlı bir şekilde güncellemelidir. Örneğin, Mastodon Github projesinde mevcuttur.
Bu haftanın Perşembe gününden bu yana yeni bir sosyal ağ olan Threads kullanıma sunuldu. Gelecekte Fedverse ile bağlantılı olacak. Kullanıcılar ayrıca başlıklar ve mamut örnekleri arasında hareket edebilmeli ve takipçilerini yanlarında getirebilmelidir.
(dmk)
Haberin Sonu