Mastodon hat in seinem neuesten Update vier wichtige Sicherheitslücken geschlossen. Wir möchten euch erklären, warum ein Update so wichtig ist. Mit dem vor drei Tagen veröffentlichten Update 4.1.3 wurden zwei schwerwiegende Schwachstellen im Mastodon-Code behoben. Wie bedeutend waren diese Sicherheitslücken genau? Fast so schlimm wie nur möglich. Eine Übernahme von Servern war bereits mit nur einem Upload möglich. Die Common Vulnerability Scoring System (CVSS), welches die Schwere einer Sicherheitslücke bewertet, reicht bis zu zehn. Dass das CVE-2023-36460 eine Wertung von 9,9 erhielt, lässt Schlimmes vermuten: Mit geringem Aufwand konnte eine beliebige Datei auf dem Hostsystem erstellt werden, ohne spezielle Rechte oder Nutzerinteraktion. Dadurch wurden Denial-of-Service-Angriffe ermöglicht und noch schlimmer, Remote Code Execution, eine der gefährlichsten Arten von Sicherheitslücken. Das Team von Cure53 um Dr.-Ing. Mario Heiderich hat diese Mastodon-Schwachstelle während einer von Mozilla in Auftrag gegebenen Überprüfung entdeckt. Das Unternehmen ist auch bekannt für seine Überprüfungen von Mullvad, ExpressVPN*, cURL und verschiedenen Krypto-Apps.
Cross-Site-Scripting über Mastodon-Embeds
Cure53 entdeckte auch eine Schwachstelle, die Cross-Site-Scripting-Angriffe auf Nutzer ermöglicht. Mit einem Score von 9.3 ist das CVE-2023-36459 zwar nicht ganz so kritisch, aber immer noch hoch genug, um als gefährlich eingestuft zu werden. In diesem Fall muss der Nutzer zumindest noch einen Klick durchführen, aber es fällt dem aufmerksamen Leser auf, dass Embeds genau für solche Klicks vorgesehen sind. Es ist also ratsam, etwas abzuwarten, bevor man auf Mastodon Embeds klickt.
Denial of Service durch Remote Server
Mit einer "nur" hohen Bewertung von Schwere schlägt das CVE-2023-26461 zu. Hier können durch ausgehende Anfragen alle Worker einer Instanz blockiert werden und dadurch die gesamte Instanz zum Stillstand bringen. Auch in diesem Fall war das Team von Cure53 für die Entdeckung verantwortlich. Durch die Überprüfung von Mozilla wurde das Fediverse sicherer gemacht und dafür sollten wir dankbar sein.
Irreführende Profil-Links
Das CVE-2023-36462 ist eher moderat, es ermöglicht das Verschleiern von Links durch Formatierung und lässt sie wie Links aus anderen Quellen erscheinen. Das Risiko ist hier überschaubar, aber dennoch vorhanden. Wir sollten Ryan Barrett und "a" (alias trwnh) für die Entdeckung dieser Mastodon-Schwachstelle danken.
Auch private Mastodon-Instanzen müssen aktualisiert werden
Zusammenfassend bleibt mir nur noch festzustellen, dass alle Mastodon-Admins, auch von privaten und kleinen Instanzen, dringend zum Update aufgefordert werden sollten. Außerdem möchte ich Claire für die Behebung dieser Bugs danken. Die Release-Notes findet ihr im entsprechenden git-Tag. Bleibt auch im Fediverse sicher.
Kommentare