Mastodon a comblé quatre lacunes majeures dans la dernière mise à jour. Nous vous expliquons pourquoi une mise à jour est importante.

Deux vulnérabilités sérieuses dans le code Mastodon ont été fermées avec la mise à jour 4.1.3, qui a été publiée il y a trois jours. À quel point exactement les vulnérabilités étaient-elles critiques ? Presque aussi mauvais que possible.

Prise de contrôle du serveur avec un seul téléchargement

CVSS, la norme pour évaluer la gravité d’une vulnérabilité, va jusqu’à dix. Le fait que CVE-2023-36460 passe à 9.9 est une mauvaise nouvelle : n’importe quel fichier peut être créé sur le système hôte à partir du réseau avec peu d’effort, sans droits spéciaux et sans interaction de l’utilisateur. Cela permet des attaques par déni de service et pire : l’exécution de code à distance, l’un des types de vulnérabilités les plus dangereux.

L’équipe Cure53 autour du Dr.-Ing. Mario Heiderich a découvert cette vulnérabilité de mastodonte dans le cadre d’un audit commandé par Mozilla. La société est également connue pour auditer Mullvad, ExpressVPN*, cURL et diverses applications cryptographiques.

Scripts intersites via mastodon embeds

Cure53 a également trouvé une vulnérabilité qui permet des attaques de script intersite sur les utilisateurs. Avec un score de 9,3, CVE-2023-36459 n’est pas aussi mauvais, mais il reste suffisamment élevé pour être classé comme critique. Bien que l’utilisateur doive encore au moins cliquer ici, le lecteur remarquera que les intégrations sont conçues exactement pour cela. Il est donc préférable d’attendre un peu jusqu’à ce que vous cliquiez sur Mastodon Embeds.

Déni de service du serveur distant

CVE-2023-26461 a « seulement » une sévérité élevée. Tous les travailleurs d’une instance peuvent être bloqués par des requêtes sortantes et l’instance peut être arrêtée. Encore une fois, l’équipe Cure53 était responsable de la découverte. Mozilla a rendu le Fediverse beaucoup plus sécurisé avec cet audit, et ils doivent en être remerciés.

Liens de profil trompeurs

CVE-2023-36462 est modéré, dans lequel il est possible de déguiser les liens par le formatage et de les faire ressembler à des liens provenant de sources complètement différentes. Le risque ici est gérable, mais certainement là. Merci à Ryan Barrett et « a » (aka. trwnh) pour avoir découvert cette vulnérabilité Mastodon.

Mettre également à jour les instances Mastodon privées

Au final, il ne me reste plus que deux choses à faire : d’une part, exhorter tous les administrateurs des instances Mastodon – oui, également les petites et privées – à mettre à jour et remercier Claire d’avoir corrigé ces bugs.

Les notes de version peuvent être trouvées sous la balise git correspondante. Restez en sécurité, même dans Fediverse.