Mastodon sunucu yazılımının yeni sürümleri, yüksek riskli olarak sınıflandırılan bir güvenlik açığını kapatıyor. Saldırganlar gönderilere yetkisiz erişim sağlayabilir.
Duyuru
Saldırganlar, belirli belirtilmemiş görevler oluşturarak, kendilerine ait olmayan bir gönderinin hedef kitlesini hedef sunucudaki diğer Mastodon kullanıcılarını kapsayacak şekilde genişletebilir. Bu onlara amaçlanmayan bir gönderinin içeriğine erişme olanağı verir (CVE-2024-37903, CVSS 8.2“Risk”yüksek“). Güvenlik duyurusuna göre Mastodon geliştiricileri, önümüzdeki hafta 15 Temmuz Pazartesi günü daha fazla ayrıntı yayınlamak istiyor.
Mastodon'un birçok sürümü etkilendi
Bu nedenle hata Mastodon 2.6.0'dan itibaren ortaya çıkıyor. Geliştiriciler Mastodon'un 4.2.10 ve 4.1.18 sürümlerini yayımladı. Güvenlik açığını kapatmalılar. Mastodon 4.2.10 değişiklik günlüğü ayrıca yeni sürüm tarafından düzeltilen diğer güvenlik sorunlarını da listeliyor. Ancak bunlar CVE girişi alamadı. Aynı düzeltmeler Mastodon 4.1.18'de de yapıldı.
Düzeltilen diğer zararlı güvenlik hatalarından biri, birden fazla API uç noktasında ayrıcalık kontrolüyle ilgilidir. Bu gerçekleşir, ancak yeterli değildir: Bu, uygulama belirteçlerinin kullanılabileceği anlamına gelir, ancak belirteçlerin mutlaka belirli kullanıcılara ait olması gerekmez.
Mastodon bulut sunucularının operatörleri, kullanıcı içeriğini yetkisiz erişime karşı korumak için mevcut güncellemeleri derhal indirip yüklemelidir.
Mastodon sıklıkla güvenlik boşluklarını doldurmak zorunda kaldı. Örneğin Şubat ayında saldırganların herhangi bir hesabı ele geçirmeyi veya tahrif etmeyi başardıkları öğrenildi.
(Bilmiyorum)
Duyuru
Saldırganlar, belirli belirtilmemiş görevler oluşturarak, kendilerine ait olmayan bir gönderinin hedef kitlesini hedef sunucudaki diğer Mastodon kullanıcılarını kapsayacak şekilde genişletebilir. Bu onlara amaçlanmayan bir gönderinin içeriğine erişme olanağı verir (CVE-2024-37903, CVSS 8.2“Risk”yüksek“). Güvenlik duyurusuna göre Mastodon geliştiricileri, önümüzdeki hafta 15 Temmuz Pazartesi günü daha fazla ayrıntı yayınlamak istiyor.
Mastodon'un birçok sürümü etkilendi
Bu nedenle hata Mastodon 2.6.0'dan itibaren ortaya çıkıyor. Geliştiriciler Mastodon'un 4.2.10 ve 4.1.18 sürümlerini yayımladı. Güvenlik açığını kapatmalılar. Mastodon 4.2.10 değişiklik günlüğü ayrıca yeni sürüm tarafından düzeltilen diğer güvenlik sorunlarını da listeliyor. Ancak bunlar CVE girişi alamadı. Aynı düzeltmeler Mastodon 4.1.18'de de yapıldı.
Düzeltilen diğer zararlı güvenlik hatalarından biri, birden fazla API uç noktasında ayrıcalık kontrolüyle ilgilidir. Bu gerçekleşir, ancak yeterli değildir: Bu, uygulama belirteçlerinin kullanılabileceği anlamına gelir, ancak belirteçlerin mutlaka belirli kullanıcılara ait olması gerekmez.
Mastodon bulut sunucularının operatörleri, kullanıcı içeriğini yetkisiz erişime karşı korumak için mevcut güncellemeleri derhal indirip yüklemelidir.
Mastodon sıklıkla güvenlik boşluklarını doldurmak zorunda kaldı. Örneğin Şubat ayında saldırganların herhangi bir hesabı ele geçirmeyi veya tahrif etmeyi başardıkları öğrenildi.
(Bilmiyorum)