Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Ohne Nutzerinteraktion: Schwachstelle ermöglicht Übernahme fremder Mastodon-Konten

Eine kritische Schwachstelle in Mastodon ermöglicht es Angreifern, beliebige Nutzerkonten zu übernehmen. Instanzbetreiber sollten dringend patchen .
/ Marc Stöckel
Kommentare News folgen (öffnet im neuen Fenster)
In Mastodon gibt es eine kritische Schwachstelle. (Bild: pixabay.com / Sponchia)
In Mastodon gibt es eine kritische Schwachstelle. Bild: pixabay.com / Sponchia

Bei dem dezentralen Microblogging-Dienst Mastodon ist offenbar eine kritische Schwachstelle entdeckt worden, welche die Übernahme beliebiger Nutzerkonten aus der Ferne ermöglicht. Aufgrund einer unzureichenden Ursprungsvalidierung könne sich ein Angreifer als ein anderer Nutzer ausgeben und dessen Mastodon-Account übernehmen, heißt es in einem Sicherheitshinweis auf Github(öffnet im neuen Fenster) .

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Mitarbeiterin/Mitarbeiter (w/m/d) zur Unterstützung im IT-Bereitstellungsmanagement Bundesnachrichtendienst, Berlin (öffnet im neuen Fenster)
IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)
Platform Engineer / Plattformingenieur (m/w/d) HITS.NRW – Hochschule IT Services NRW, Düsseldorf (öffnet im neuen Fenster)
Senior Full Stack Developer (m/w/d) WESTPRESS GmbH & Co. KG Werbeagentur, Hamm (öffnet im neuen Fenster)
Senior IT Database Administrator (m/w/d) wilhelm.tel GmbH, Norderstedt (öffnet im neuen Fenster)
Ausbildung zum Kaufmann für IT-System-Management (m/w/d) 2026 netgo, Warendorf (öffnet im neuen Fenster)
IT Solution Architekt (m/w/d) Carthago Reisemobilbau GmbH, Aulendorf (öffnet im neuen Fenster)
Senior SAP Inhouse Consultant (m/w/d) für SD & S/4 HANA Einführung Rubix GmbH, Plattling (öffnet im neuen Fenster)

Anfällig ist demnach jede Mastodon-Version vor 3.5.17 sowie alle 4.0.x-Versionen vor 4.0.13, alle 4.1.x-Versionen vor 4.1.13 und alle 4.2.x-Versionen vor 4.2.5. Betreibern einer Mastodon-Instanz wird dringend empfohlen, die jüngsten Patches einzuspielen, um die Sicherheitslücke zu schließen. Auch der Sicherheitsforscher Kevin Beaumont sprach am Donnerstag auf Mastodon(öffnet im neuen Fenster) eine entsprechende Empfehlung aus.

Mit Details zu der Schwachstelle halten sich die Entwickler derweil aus Sicherheitsgründen zurück. Diese würden es böswilligen Akteuren einfach machen, einen funktionierenden Exploit zu entwickeln, heißt es auf Github. Weitere Informationen sollen daher erst am 15. Februar veröffentlicht werden, um Administratoren Zeit zu verschaffen, die Patches einzuspielen.

Keine Nutzerinteraktion erforderlich

Registriert ist die Schwachstelle als CVE-2024-23832(öffnet im neuen Fenster) , mit einem CVSS von 9,4 von 10 möglichen Punkten ist sie als kritisch bewertet. Die Angriffskomplexität scheint der Bewertung nach(öffnet im neuen Fenster) gering zu sein. Angriffe sind offenbar aus der Ferne möglich und erfordern vorab keinerlei Zugriffsrechte oder Nutzerinteraktionen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Zuletzt schlossen die Mastodon-Entwickler im Juli 2023 zwei kritische Sicherheitslücken. Eine davon, bezeichnet als Tootroot, ermöglichte es Angreifern, durch das Absenden einer speziellen Nachricht (Toot) auf den Instanzen, die diese verarbeiteten, eine Webshell zu erzeugen und darüber einen Root-Zugriff zu erlangen. Die zweite Schwachstelle machte XSS-Attacken (Cross Site Scripting) möglich. Durch die Verbreitung speziell gestalteter Toots ließ sich damit Schadcode auf den Systemen von Mastodon-Nutzern auszuführen.

Zur Startseite Kommentare

Relevante Themen

MicrobloggingMastodonSecuritySicherheitslückeUpdates & PatchesDatensicherheitServer