社交平台Mastodon存在漏洞允许黑客接管任何账户,敦促管理员尽快更新
2024-2-5 17:59:43 Author: mp.weixin.qq.com(查看原文) 阅读量:9 收藏

Mastodon是一个较为流行的开源去中心化社交平台,自马斯克收购Twitter以来,该平台用户数得到大幅增长(目前约1200万)。
Mastodon创始人兼首席执行官Eugen Rochko在安全公告中表示:“由于所有Mastodon中存在的来源验证不足,攻击者可以冒充并接管任何远程账户。”
该漏洞(CVE-2024-23832)在CVSS v3.1中评分为9.4,影响3.5.17之前的所有Mastodon版本,以及4.0.13之前的4.0.x版本、4.1.13之前的4.1.x版本、4.2.5之前的4.2.x版本。
Mastodon平台的每个服务器都是自治的,由各自的管理员独立托管及操作,这带来了诸如能为不同社区启用特定规则和限制等好处,但也意味着每个服务器都需要由管理员单独更新(Mastodon用户无法采取任何措施来解决安全风险)。
该漏洞已于最新发布的4.2.5版本中修复,Mastodon建议所有Mastodon服务器管理员尽快升级到该最新版本;而对于用户来说,需要注意其所在服务器是否为最新版本,以避免遭受账户劫持。
据了解,该漏洞最初由安全研究人员arcanicanis发现。Mastodon计划在2024年2月15日之后发布关于这个漏洞的更多技术细节,以便给予管理员充足的时间更新他们的服务器。Mastodon公告上写道:“对于这个漏洞,我们认为透露任何细节都很容易导致利用。”

编辑:左右里

资讯来源:github.com/mastodon、bleepingcomputer

转载请注明出处和本文链接

每日涨知识

勒索软件(Ransomware)

勒索软件是一种恶意软件,它对 PC 或移动设备上的所有数据进行加密,从而阻止数据所有者对其进行访问。

感染发生后,受害者会收到一条消息,告知他/她必须支付一定数量的钱(通常以比特币支付)才能获得解密密钥。通常,支付赎金也有时间限制。如果受害者支付赎金,则不能保证解密密钥会被移交。最可靠的解决方案是至少在三个不同的位置备份数据(以确保冗余),并使这些备份保持最新状态,这样您就不会失去重要的进展。



球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458541906&idx=2&sn=fdd29506da7ba6af3a384e358ccc3d1e&chksm=b18d6fd886fae6ce5d1101983efbd426fa7b34c735d4b42e327dfea9bca73e949f823d0720c3&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh