Mastodon Icon auf einem Handy, vor einem Mastodon Logo
November 12, 2022, Brazil. In this photo illustration, the social media platform, Mastodon logo seen displayed on a smartphone
Bildquelle: rafapress, Lizenz

Mastodon behebt mehrere schwere Sicherheitslücken

Mastodon hat im neusten Update vier große Lücken geschlossen. Wir erklären euch, warum ein Update wichtig ist.

Gleich zwei gravierende Schwachstellen im Mastodon-Code wurden mit dem vor drei Tagen veröffentlichten Update 4.1.3 geschlossen. Wie kritisch waren die Sicherheitslücken genau? Fast so schlimm wie nur irgend möglich.

Server Übernahme mit nur einem Upload

CVSS, der Standard für die Einstufung der Schwere einer Sicherheitslücke, geht bis zehn. Dass CVE-2023-36460 es auf 9,9 schafft, lässt Schlimmes ahnen: Aus dem Netzwerk lässt sich mit geringem Aufwand ohne besondere Rechte und ohne Nutzer-Interaktion eine beliebige Datei auf dem Hostsystem erstellen. Das erlaubt Denial of Service Angriffe und schlimmer noch: Remote Code Execution, eine der gefährlichsten Arten von Schwachstellen.

Das Team von Cure53 um Dr.-Ing. Mario Heiderich fand im Rahmen eines von Mozilla beauftragten Audits diese Mastodon-Schwachstelle. Bekannt ist das Unternehmen auch für Audits von Mullvad, ExpressVPN*, cURL und diversen Crypto-Apps.

Cross-Site-Scripting über Mastodon-Embeds

Cure53 fand ebenfalls eine Schwachstelle, die Cross-Site Scripting Angriffe auf Nutzer zulässt. Mit einem Score von 9.3 ist CVE-2023-36459 zwar nicht ganz so schlimm, aber immer noch hoch genug, um als kritisch eingestuft zu werden. Während hier der Nutzer wenigstens noch klicken muss, wird dem geneigten Leser auffallen, dass Embeds genau dafür gedacht sind. Wartet also am besten etwas, bis ihr auf Mastodon Embeds klickt.

Denial of Service durch Remote Server

Mit „nur“ hoher Schwere schlägt CVE-2023-26461 zu Buche. Hier können durch ausgehende Anfragen alle Worker einer Instanz blockiert und so die Instanz zum Stillstand gebracht werden. Auch hier war wieder das Team von Cure53 für die Entdeckung verantwortlich. Mozilla hat mit diesem Audit das Fediverse ein ganzes Stück sicherer gemacht, und dafür sollte man ihnen danken.

Moderat ist CVE-2023-36462, bei welcher es möglich ist, durch Formatierung Links zu verschleiern und nach Links gänzlich anderer Quellen aussehen zu lassen. Das Risiko ist hier überschaubar, aber durchaus vorhanden. Für die Entdeckung dieser Mastodon-Schwachstelle können wir Ryan Barrett und „a“ (aka. trwnh) danken.

Auch Private Mastodon Instanzen aktualisieren

Schließend bleiben nur zwei Dinge für mich zu tun: Zum einen alle Admins von Mastodon-Instanzen, – ja, auch privaten und kleinen – zum Updaten zu drängen und Claire für die Fixes dieser Bugs zu danken.

Die Release-Notes findet ihr beim entsprechenden git-Tag. Bleibt sicher, auch im Fediverse.

(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.

Über

Moritz ist von ganzem Herzen Open-Source Programmierer. Neben regelmäßigen Commits für diverse Open-Source-Projekte verfasst er gelegentlich auch Texte für die Tarnkappe. Er findet es echt seltsam über sich in der dritten Person zu schreiben und merkt an, dass seine DMs für alles außer Marketing-Nachrichten offen stehen. Erreichbar ist er auf Matrix (@moritz:poldrack.dev), IRC (mpldr auf libera.chat) und Email (~mpldr/public-inbox@lists.sr.ht).