bencede
New member
Mastodon sosyal ağı, aynı isimli sunucu yazılımına dayanmaktadır. Saldırganlar, LDAP kimlik doğrulaması sırasında aktarılan verilerin yetersiz filtrelenmesi nedeniyle bireysel bilgileri okumuş olabilir.
Güvenlik bildiriminde, güvenlik açığını keşfedenler, kullanıcı adının filtrelenmediğini ve LDAP veritabanı sorgusunun yanıltılabileceğini yazıyor. Yavaş yavaş, kullanıcılar hakkındaki bilgiler okunabilir. Kavram kanıtı açıklaması, parola karmalarının elde edilemediğini gösteriyor (CVE-2023-28853, CVSS 7.7risk”yüksek“).
Mastodon: Herhangi bir kullanıcı tanımlı öznitelik, LDAP veri tabanından görüntülenebilir
Keşifçiler bu nedenle, boşluğu oturum açma sırasında bir LDAP enjeksiyon güvenlik açığı olarak da tanımlar. Saldırganların LDAP veritabanındaki tüm kullanıcı özniteliklerine erişmesini sağlar.
2.5.0’dan itibaren Mastodon sürümleri etkilenir. Geliştiriciler 4.1.2, 4.0.4 ve 3.5.8 sürümlerindeki güvenlik açıklarını kapatmışlardır.
Mastodon’un üç yeni sürümü için sürüm notları güvenlik açığından bahsediyor ve ayrıca bir güvenlik güncellemesi olarak Ruby sürüm 3.0.6’yı içeriyor. Önceki sürümler bir ReDoS güvenlik açığı içeriyordu. Bir Mastodon örneğinin yöneticileri, geliştiriciler kapatılan güvenlik açığını yüksek riskli olarak sınıflandırdığından, güncellenmiş sürümleri mümkün olan en kısa sürede yüklemelidir.
Birkaç hafta önce Mastodon.social örneğindeki bir yanlış yapılandırmanın veri sızıntısına yol açtığı duyurulmuştu. Ancak bu bir “insan hatasıydı”: Mastodon.social’daki donanım ve yazılım genişletme sürecinde, bir arşiv sunucusu birkaç hafta boyunca tüm kullanıcılar tarafından görülebildi.
(dmk)
Haberin Sonu
Güvenlik bildiriminde, güvenlik açığını keşfedenler, kullanıcı adının filtrelenmediğini ve LDAP veritabanı sorgusunun yanıltılabileceğini yazıyor. Yavaş yavaş, kullanıcılar hakkındaki bilgiler okunabilir. Kavram kanıtı açıklaması, parola karmalarının elde edilemediğini gösteriyor (CVE-2023-28853, CVSS 7.7risk”yüksek“).
Mastodon: Herhangi bir kullanıcı tanımlı öznitelik, LDAP veri tabanından görüntülenebilir
Keşifçiler bu nedenle, boşluğu oturum açma sırasında bir LDAP enjeksiyon güvenlik açığı olarak da tanımlar. Saldırganların LDAP veritabanındaki tüm kullanıcı özniteliklerine erişmesini sağlar.
2.5.0’dan itibaren Mastodon sürümleri etkilenir. Geliştiriciler 4.1.2, 4.0.4 ve 3.5.8 sürümlerindeki güvenlik açıklarını kapatmışlardır.
Mastodon’un üç yeni sürümü için sürüm notları güvenlik açığından bahsediyor ve ayrıca bir güvenlik güncellemesi olarak Ruby sürüm 3.0.6’yı içeriyor. Önceki sürümler bir ReDoS güvenlik açığı içeriyordu. Bir Mastodon örneğinin yöneticileri, geliştiriciler kapatılan güvenlik açığını yüksek riskli olarak sınıflandırdığından, güncellenmiş sürümleri mümkün olan en kısa sürede yüklemelidir.
Birkaç hafta önce Mastodon.social örneğindeki bir yanlış yapılandırmanın veri sızıntısına yol açtığı duyurulmuştu. Ancak bu bir “insan hatasıydı”: Mastodon.social’daki donanım ve yazılım genişletme sürecinde, bir arşiv sunucusu birkaç hafta boyunca tüm kullanıcılar tarafından görülebildi.
(dmk)
Haberin Sonu