Mastodon federal kısa mesaj servisinin, kimlik hırsızlığını çok kolaylaştıran büyük bir sorunu var gibi görünüyor. Geliştiricilerin bir güvenlik tavsiyesinde belirttiği gibi, saldırganlar herhangi bir hesabı ele geçirebilir ve kimliğini çalabilir.
Duyuru
İşbirliği platformu Github'da yayınlanan güvenlik tavsiyesi, kasıtlı olarak kısa ayrıntılara sahip: amaç, yöneticilere örneklerini güncellemeleri için zaman vermek ve potansiyel saldırganlara bu güvenlik açığından yararlanabilecekleri işleyiş tarzını açıklamamaktır.
Güvenlik açığına CVE ID CVE-2024-23832 atanmıştır ve CVSS puanı 10 üzerinden 9,4'tür. Mastodon ekibinin değerlendirmesine göre bu, uzaktan kolayca yararlanılabilen ve herhangi bir önkoşul bulunmayan bir güvenlik açığıdır. Saldırganın mutlaka özel ayrıcalıklara sahip olması veya meşru bir kullanıcıyı örneğin sahte bir bağlantıyla aldatması gerekmez. Geliştiriciler 15 Şubat'a kadar daha fazla ayrıntı açıklamayacak.
Her yerde en son güncellemeler
Güvenlik önerisinin yayınlanmasından yalnızca birkaç dakika sonra büyük Mastodon örneklerinin yöneticileri gerekli güncellemeleri yapmaya başladı. Infosec.exchange örneğinin yöneticisi Jerry Bell, güvenliği artırmak için bunu doğruladı.
Mastodon'un bir örneğini kendiniz çalıştırıyorsanız, onu hızlı bir şekilde güncellemelisiniz. Mastodon sürümleri hatadan etkileniyor
Kısa mesaj servisini çevreleyen kapkaçların ardından Sosyal ağ umulduğu kadar merkezi olmayan ve hataya dayanıklı olmasa da, bu arada çok sayıda yetkili ve çevrimiçi ünlü buraya kaydoldu. Muhtemelen kimlik hırsızlığı ihtimalinden hoşlanmıyorlar.
(cku)
Haberin Sonu
Duyuru
İşbirliği platformu Github'da yayınlanan güvenlik tavsiyesi, kasıtlı olarak kısa ayrıntılara sahip: amaç, yöneticilere örneklerini güncellemeleri için zaman vermek ve potansiyel saldırganlara bu güvenlik açığından yararlanabilecekleri işleyiş tarzını açıklamamaktır.
Güvenlik açığına CVE ID CVE-2024-23832 atanmıştır ve CVSS puanı 10 üzerinden 9,4'tür. Mastodon ekibinin değerlendirmesine göre bu, uzaktan kolayca yararlanılabilen ve herhangi bir önkoşul bulunmayan bir güvenlik açığıdır. Saldırganın mutlaka özel ayrıcalıklara sahip olması veya meşru bir kullanıcıyı örneğin sahte bir bağlantıyla aldatması gerekmez. Geliştiriciler 15 Şubat'a kadar daha fazla ayrıntı açıklamayacak.
Her yerde en son güncellemeler
Güvenlik önerisinin yayınlanmasından yalnızca birkaç dakika sonra büyük Mastodon örneklerinin yöneticileri gerekli güncellemeleri yapmaya başladı. Infosec.exchange örneğinin yöneticisi Jerry Bell, güvenliği artırmak için bunu doğruladı.
Mastodon'un bir örneğini kendiniz çalıştırıyorsanız, onu hızlı bir şekilde güncellemelisiniz. Mastodon sürümleri hatadan etkileniyor
- 3.5.16 ve öncesi,
- 4.0.12 ve öncesi,
- 4.1.12 ve öncesi
- 4.2.4 ve öncesi.
Kısa mesaj servisini çevreleyen kapkaçların ardından Sosyal ağ umulduğu kadar merkezi olmayan ve hataya dayanıklı olmasa da, bu arada çok sayıda yetkili ve çevrimiçi ünlü buraya kaydoldu. Muhtemelen kimlik hırsızlığı ihtimalinden hoşlanmıyorlar.
(cku)
Haberin Sonu