Site icon Baki CUBUK

Mastodon Güvenlik Açığı

Merhaba

Mastodon Güvenlik Açığı Bilgisayar Korsanlarının Herhangi Bir Merkezi Olmayan Hesabı Ele Geçirmesine İzin Veriyor.

Merkezi olmayan sosyal ağ Mastodon, kötü niyetli aktörlerin herhangi bir hesabı taklit etmesine ve ele geçirmesine olanak tanıyan kritik bir güvenlik açığını açıkladı.

“Mastodon’un tamamında yetersiz kaynak doğrulaması nedeniyle, saldırganlar herhangi bir uzak hesabı taklit edebilir ve ele geçirebilir” dedi.

CVE-2024-23832 olarak takip edilen güvenlik açığı, maksimum 10 üzerinden 9,4 önem derecesine sahiptir. Güvenlik araştırmacısı arcanicanis bu açığı keşfederek raporlamıştır.

Bu açık, tipik olarak bir saldırganın “kaynak tarafından yanlışlıkla erişilebilen herhangi bir işlevselliğe erişmesine” izin verebilen bir “kaynak doğrulama hatası” (CWE-346) olarak tanımlanmıştır.

Mastodon’un 3.5.17’den önceki tüm sürümleri, 4.0.13’ten önceki 4.0.x sürümleri, 4.1.13’ten önceki 4.1.x sürümleri ve 4.2.5’ten önceki 4.2.x sürümleri gibi savunmasızdır.

Mastodon, yöneticilere sunucu örneklerini güncellemek ve istismar olasılığını önlemek için yeterli zaman vermek amacıyla 15 Şubat 2024 tarihine kadar kusurla ilgili ek teknik ayrıntıları sakladığını söyledi.

“Herhangi bir ayrıntı, bir istismar bulmayı çok kolay hale getirecektir” dedi.

Platformun federe yapısı, yerel olarak uygulanan kendi kurallarını ve düzenlemelerini oluşturan ilgili yöneticiler tarafından bağımsız olarak barındırılan ve işletilen ayrı sunucularda (diğer bir deyişle örneklerde) çalıştığı anlamına gelir.

Bu aynı zamanda her bir örneğin kendine özgü davranış kuralları, hizmet şartları, gizlilik politikası ve içerik denetleme yönergelerine sahip olmasının yanı sıra, her bir yöneticinin örnekleri olası risklere karşı güvence altına almak için güvenlik güncellemelerini zamanında uygulamasını gerektirdiği anlamına da geliyor.

Bu açıklama, Mastodon’un, düşmanlar tarafından hizmet reddine (DoS) neden olmak veya uzaktan kod yürütmeye ulaşmak için silah olarak kullanılabilecek diğer iki kritik kusuru (CVE-2023-36460 ve 2023-36459) ele almasından yaklaşık yedi ay sonra geldi.

 

Başka bir yazımızda görüşmek dileğiyle…

Exit mobile version