15/11/2024

Actu CybersécuritéRéseaux sociaux

Avec la faille de sécurité TootRoot, un attaquant peut compromettre un serveur Mastodon

Administrateurs de serveurs Mastodon, c'est une mise à jour importante qui vous attend pour commencer cette nouvelle semaine : en l'exploitant, un attaquant peut compromettre le serveur Mastodon. Faisons le point.

Pour rappel, Mastodon est une alternative libre et open source au réseau social Twitter ! Il se présente comme un réseau social décentralisé et les utilisateurs peuvent héberger leur propre instance Mastodon, sur un serveur en local ou en ligne. D'ailleurs, à ce jour, on compte environ 13 000 instances dans le monde, hébergées par la communauté pour servir plusieurs millions d'utilisateurs.

L'entreprise Cure53 a fait la découverte de quatre failles de sécurité dans Mastodon, désormais corrigées dans la dernière version de l'application : CVE-2023-36459, CVE-2023-36460, CVE-2023-36461 et CVE-2023-36462.

Parmi ces vulnérabilités, il y a une faille de sécurité critique associée à la référence CVE-2023-36460 et surnommée TootRoot. Elle hérite d'un joli score CVSS de 9.9 sur 10 ! En l'exploitant, un attaquant peut compromettre le serveur Mastodon. Le problème de sécurité réside dans la fonction qui traite les médias associés dans les toots (l'équivalent des tweets), au moment de l'importation. Grâce à un fichier spécialement conçu, l'attaquant peut avoir l'ambition de faire planter le serveur Mastodon, mais aussi d'exécuter du code à distance sur le serveur.

Pire encore, le chercheur en sécurité Kevin Beaumont affirme que la faille de sécurité TootRoot peut être utilisée pour déposer une porte dérobée sur un serveur Mastodon. Ainsi, le serveur sera compromis et le pirate pourra accéder aux données du serveur, ce qui inclut des informations sur les utilisateurs.

Les quatre vulnérabilités concernent toutes les versions de Mastodon à partir de la version 3.5.0 ! La bonne nouvelle, comme je l'évoquais ci-dessus, c'est qu'elles sont déjà corrigées ! Plusieurs versions intègrent les correctifs de sécurité pour ces versions : 3.5.9, 4.0.5 et 4.1.3.

Il ne vous reste plus qu'à mettre à jour votre instance Mastodon pour protéger votre serveur et votre communauté !

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.