A Mastodon, az ingyenes és nyílt forráskódú decentralizált közösségi platform kijavított egy kritikus sebezhetőséget, amely lehetővé tette a támadók számára, hogy átvegyék az irányítást bármely fiók felett.
A platform azután vált népszerűvé, hogy Elon Musk felvásárolta a Twittert. Jelenleg közel 12 millió felhasználóval büszkélkedhet. A Mastodon-on lévő példányok (szerverek) autonóm, de egymással összekapcsolt közösségek, amelyek saját irányelvekkel és szabályzatokkal rendelkeznek, és amelyeket az infrastruktúrát biztosító és a szervereik adminisztrátoraiként működő tulajdonosok irányítanak.
Az újonnan javított hiba CVE-2024-23832 néven követhető nyomon, és a Mastodon nem megfelelő eredet érvényesítéséből ered, ami lehetővé teszi a támadók számára, hogy felhasználóknak adják ki magukat és átvegyék a fiókokat.
A sebezhetőség a CVSS szerint 9.4-es besorolású, és a 3.5.17, 4.0.13, 4.1.13 és 4.2.5 előtti verziókat érinti.
A hibát a 4.2.5-től javították, amelyre minden Mastodon szerver adminisztrátornak ajánlott minél hamarabb frissíteni, hogy megvédjék a felhasználóikat.
A Mastodon egyelőre visszatartotta a technikai részleteket, hogy megakadályozza a sebezhetőség aktív kihasználását. Azt ígérték, hogy 2024. február 15-én további információkat osztanak meg a CVE-2024-23832-vel kapcsolatban.
A cég nem adott ki enyhítő intézkedéseket, az egyetlen biztonságos mód a frissítés. A Mastodon úgy döntött, hogy a szerveradminokat egy hangsúlyos bannerrel figyelmezteti a kritikus frissítésre, így mindenki tudomást tud szerezni annak szükségességéről és a következő napokban át kell állnia a biztonságos verzióra.
