Quản trị viên, hãy cập nhật của bạn —
Lỗ hổng quan trọng nhất cho phép tấn công giải phóng các thể hiện liên kết.
Dan Goodin –
Những người duy trì phần mềm mã nguồn mở mà điều khiển mạng xã hội Mastodon đã phát hành một bản cập nhật bảo mật vào thứ Năm để sửa chữa lỗ hổng quan trọng làm cho có thể cho phép hacker đặt lại máy chủ mà đẩy nội dung đến các người dùng cá nhân.
Mastodon dựa trên mô hình liên kết. Liên kết bao gồm hàng ngàn máy chủ riêng biệt được gọi là “thể hiện”. Người dùng cá nhân tạo tài khoản với một trong các thể hiện, kết hợp nhận và gửi nội dung đến và từ người dùng của các thể hiện khác. Đến nay, Mastodon có hơn 24.000 thể hiện và 14,5 triệu người dùng, theo the-federation.info, một trang web theo dõi thống kê liên quan đến Mastodon.
Một lỗi quan trọng được theo dõi như CVE-2023-36460 là một trong hai lỗ hổng được đánh giá là quan trọng được sửa chữa vào thứ Năm. Tổng cộng, Mastodon vào thứ Năm đã sửa chữa năm lỗ hổng.
Đến nay, Mastodon gGmbH, tổ chức phi lợi nhuận duy trì phần mềm thể hiện sử dụng để hoạt động mạng xã hội, đã phát hành ít chi tiết về CVE-2023-36460 hơn là mô tả nó là một lỗ hổng “tạo tệp bất kỳ thông qua tệp đính kèm”.
“Sử dụng các tệp đính kèm được lập trình cẩn thận, các tấn công có thể gây ra mã xử lý đính kèm của Mastodon để tạo tệp bất kỳ ở bất kỳ vị trí. Điều này cho phép tấn công giải phóng và ghi đè bất kỳ tệp Mastodon có truy cập đến, cho phép từ chối dịch vụ và thực thi mã từ xa bất kỳ.”
Trong một bài đăng trên Mastodon, nhà nghiên cứu bảo mật độc lập Kevin Beaumont đã đi một bước đi, viết rằng khai thác lỗ hổng cho phép ai đó “gửi một toot mà làm một webshell trên các thể hiện xử lý toot đó.” Anh đặt tên #TootRoot vì bài đăng của người dùng, được gọi là toots, cho phép hacker có thể có được quyền truy cập gốc đến các thể hiện.
Một tấn công giữ được điều khiển hàng ngàn thể hiện có thể gây ra những thiệt hại khác nhau đối với các người dùng cá nhân và có thể làm tổn hại đến Internet lớn hơn. Ví dụ, các thể hiện bị bắt có thể gửi các thông báo đến người dùng yêu cầu họ tải và cài đặt các ứng dụng độc hại hoặc dừng toàn bộ cơ sở hạ tầng. Không có dấu hiệu nào cho thấy lỗ hổng này đã bao giờ được khai thác.
Bản vá trong thứ Năm là sản phẩm của công việc kiểm tra bằng đập mới đây mà Hiệp hội Mozilla đã tài trợ, Renaud Chaput, đồng sáng lập và CTO của Mastodon, cho biết với Ars. Anh nói một công ty tên là Cure53 thực hiện kiểm tra và các bản sửa đổi mã được phát
Mastodon, một mạng xã hội mã nguồn mở độc lập, vừa sửa chữa một lỗ hổng quan trọng. Lỗ hổng này có tên là “TootRoot” cho phép người dùng có thể cướp điểm nút.
Lỗ hổng TootRoot có thể làm cho người dùng khác tận dụng. Theo lời giới thiệu, lỗ hổng này có thể được phát hiện trên máy chủ bằng cách sử dụng mã bất hợp pháp để phá hủy các bảo mật và các giới hạn.
Mặc dù nông tâm đã khắc phục lỗ hổng này, nhóm phát triển đã báo cáo rằng họ không thể đảm bảo là mọi người dùng đã được bảo vệ trước TootRoot.
Do đó, để tránh mọi rủi ro trong tương lai, người dùng cần phải cập nhật bản mới nhất của Mastodon. Để có được cập nhật nhanh nhất, bạn nên đăng ký cho chính sách bảo mật của họ và xem email của họ để có thể sử dụng phiên bản mới nhất của tựa game.
Mastodon đang làm những gì được cần thiết để bảo vệ người dùng trước TootRoot. Do vậy, hãy đảm bảo rằng bạn luôn sử dụng phiên bản mới nhất của tựa game để bảo vệ bản thân bạn khỏi mọi rủi ro.