Riesenloch in Mastodon:
Jeder Account kann übernommen werden
Das ist mal ein Sicherheitshinweis, der nur wenig offen lässt: Die Entwickler des dezentralisierten sozialen Netzwerks Mastodon haben mitgeteilt, dass es Angreifern aktuell möglich ist, sich als jeder beliebige Account auszugeben oder diesen zu übernehmen.
Wie Heise berichtet, haben die Mastodon-Macher in jüngster Vergangenheit einen Sicherheitshinweis auf Github veröffentlicht: "Wegen unzureichender Validierung der Herkunft in Mastodon können sich Angreifer als ein beliebiges Remote-Konto ausgeben und es übernehmen." Die Lücke wird mit der CVE-Nummer CVE-2024-23832 versehen und mit 9,4 von 10 CVSS-Punkten als sehr kritisch eingestuft.
Die verwundbaren Versionen von Mastodon:
Weitere Details wollen die Entwickler zum jetzigen Zeitpunkt nicht nennen, da man es damit "sehr einfach machen würde, einen Exploit zu entwickeln". Administratoren sollten genügend Zeit für eine Aktualisierung bekommen, am 15. Februar werde man den Hinweis mit mehr Informationen versehen.
Siehe auch:
Alarmstufe Rot bei Mastodon: Update dringend nötig
Mastodon will als Alternative zu X dienen, das Netzwerk setzt auf dasselbe Prinzip von persönlichen Accounts. In den vergangenen Monaten hat die Plattform einen Aufschwung erlebt, der jetzt aber schon wieder abflacht. Im Kampf um die Gunst der Nutzer ist es natürlich nicht gut, wenn es zu gravierenden Sicherheitsproblemen kommt. Genau das müssen die Entwickler aber jetzt vermelden.Wie Heise berichtet, haben die Mastodon-Macher in jüngster Vergangenheit einen Sicherheitshinweis auf Github veröffentlicht: "Wegen unzureichender Validierung der Herkunft in Mastodon können sich Angreifer als ein beliebiges Remote-Konto ausgeben und es übernehmen." Die Lücke wird mit der CVE-Nummer CVE-2024-23832 versehen und mit 9,4 von 10 CVSS-Punkten als sehr kritisch eingestuft.
Die verwundbaren Versionen von Mastodon:
- Alle Versionen vor 3.5.17
- 4.0.x-Versionen vor 4.0.13
- 4.1.x-Versionen vor 4.1.13
- 4.2.x-Versionen vor 4.2.5
Weitere Details wollen die Entwickler zum jetzigen Zeitpunkt nicht nennen, da man es damit "sehr einfach machen würde, einen Exploit zu entwickeln". Administratoren sollten genügend Zeit für eine Aktualisierung bekommen, am 15. Februar werde man den Hinweis mit mehr Informationen versehen.
Admins legen los
Gegenüber Heise bestätigt der Administrator von infosec.exchange, dass schnell auf den Hinweis reagiert und das nötige Update durchgeführt wurde. Der dezentrale Ansatz des Netzwerks erfordert, dass die nötigen Schritte bei allen betroffenen Mastodon-Instanzen eingeleitet werden. Für Nutzer gilt deshalb, auf Nachrichten der jeweiligen Administratoren zu achten.
Zusammenfassung
- Mastodon-Entwickler warnen vor Sicherheitslücke
- Angreifer können Accounts übernehmen
- CVE-2024-23832 als sehr kritisch bewertet
- Betroffene Versionen vor bestimmten Updates
- Details zurückgehalten, um Exploits zu vermeiden
- Administratoren sollen bis 15. Februar updaten
- Dezentrales Netzwerk erfordert breite Aktualisierung
Siehe auch:
- Mastodon: Der Hype ist vorbei - Nutzerzahlen sind deutlich abgesackt
- Mastodon-Gründer muss aktuell ständig hohe Geld-Angebote abwehren
- Verärgerte Twitter-Nutzer bescheren Mastodon Traumzuwachszahlen
- In eigener Sache: WinFuture.de ist jetzt auch auf Mastodon zu finden
- Mastodon: Neue Nutzer stürmen die Twitter-Alternative regelrecht
Thema:
Neueste Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen