Schon wieder Sicherheitslücke bei Mastodon

Bild ohne Beschreibung
foto: mashable.com

Die Betreiber von Mastodon-Instanzen haben mal wieder die Ehre, sich um eine neue Sicherheitslücke zu kümmern. Diesmal geht es um eine hochriskante Lücke, die es Angreifern ermöglicht, sich unbefugten Zugang zu Posts zu verschaffen.

Durch das geschickte Anlegen bestimmter Aktivitäten, die aus Sicherheitsgründen nicht näher benannt werden, können Angreifer die Zielgruppe eines Beitrags auf Mastodon erweitern und so Inhalte sehen, die nicht für sie gedacht sind. Die betroffenen Versionen reichen von Mastodon 2.6.0 bis zur neuesten. Die Entwickler haben also fleißig gepfuscht.

Zum Glück haben die Mastodon-Entwickler rechtzeitig die Versionen 4.2.10 und 4.1.18 herausgebracht, um die Lücke zu stopfen. Diese Updates beheben nicht nur diese gravierende Lücke, sondern auch noch einige andere Sicherheitsprobleme, die aber so unbedeutend sind, dass sie nicht einmal einen eigenen CVE-Eintrag erhalten haben.

Ein weiterer behobener Fehler betrifft die Rechteprüfung mehrerer API-Endpunkte. Offenbar war diese so unzureichend, dass Anwendungstoken ohne Bezug zu konkreten Nutzern genutzt werden konnten. Das ist übrigens schon die zweite Sicherheitslücke in diesem Jahr. Erst im Februar konnten Angreifer beliebige Konten übernehmen oder fälschen.

Rabbit R1, Authy, Gerdes Communications. Man Leute, schützt eure scheiß API vor fremden Zugriff. Das zieht sich bisher wie ein roter Faden durch das Jahr 2024.

Quelle: heise.de