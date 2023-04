Das soziale Netz Mastodon basiert auf der gleichnamigen Software für Server. Darin hätten Angreifer aufgrund mangelhafter Filterung von übergebenen Daten bei der LDAP-Authentifizerung einzelne Informationen auslesen können.

In der Sicherheitsmeldung schreiben die Entdecker der Schwachstelle, dass der Nutzername nicht gefiltert werde und sich so eine LDAP-Datenbank-Abfrage einschleusen lasse. Stückweise ließen sich so Informationen zu Nutzern auslesen. Der Proof-of-Concept-Beschreibung ist zu entnehmen, dass es immerhin nicht gelungen ist, darüber an Passwort-Hashes zu gelangen (CVE-2023-28853, CVSS 7.7, Risiko "hoch").

Mastodon: Beliebige Nutzer-Attribute aus LDAP-Datenbank einsehbar

Die Entdecker beschreiben die Lücke daher auch als LDAP-Injection-Schwachstelle beim Log-in. Sie macht Angreifern beliebige Nutzer-Attribute aus der LDAP-Datenbank zugänglich.

Betroffen sind Mastodon-Versionen ab 2.5.0. Die Sicherheitslücken haben die Entwickler in den Fassungen 4.1.2, 4.0.4 sowie 3.5.8 geschlossen.

Die Release-Notes zu den drei neuen Mastodon-Versionen erwähnen die Schwachstelle und liefern als Sicherheitsupdate noch Ruby in der Fassung 3.0.6 mit. Vorherige Versionen enthielten eine ReDoS-Sicherheitslücke. Administratoren einer Mastodon-Instanz sollten die aktualisierten Fassungen zügig installieren, da die Entwickler die damit geschlossene Schwachstelle als hochriskant einstufen.

Vor einigen Wochen wurde bekannt, dass ein Konfigurationsfehler bei der Mastodon.social-Instanz zu einem Datenleck führte. Es handelte sich jedoch um "menschliche Fehler": Im Zuge der Erweiterung von Hardware und Software bei Mastodon.social war ein Archivserver mehrere Wochen für alle User einsehbar.

(dmk)