Eine Lücke im Code des Kurznachrichtendienstes Mastodon ermöglicht die leichte Übernahme von Nutzerkonten. Ein Patch für die als CVE-2024-23832 katalogisierte, als kritisch eingestufte Schwachstelle ist bereits verfügbar.
Kritische Lücke
Aufgrund einer unzureichenden Herkunftsüberprüfung in Mastodon können sich Angreifer als ein beliebiges entferntes Konto ausgeben und es übernehmen. Wie die Entwickler des dezentralen Kurznachrichtendienst Mastodon auf GitHub mitteilten, sind Versionen der Server-Software vor 3.5.17 sowie alle 4.0.x-Versionen vor 4.0.13, alle 4.1.x-Versionen vor 4.1.13 und alle 4.2.x-Versionen vor 4.2.5 betroffen.
Dringend aktualisieren
Nähere Informationen zu der Lücke werden erst am 15. Februar veröffentlicht, um genügend Zeit für Updates zu lassen. Weitere Details könnten ansonsten sehr einfach für einen Exploit verwendet werden, so die Entwickler. Die mit dem Patch versehenen Versionsnummern lauten 3.5.17, 4.0.13, 4.1.13, 4.2.5. Betreiber einer Mastodon-Instanz werden dringend gebeten, ihre Instanz zu aktualisieren. Für Nutzer der Platform besteht kein Handlungsbedarf.
LinuxNews Instanz bereits gepatched
Follower und Leser von LinuxNews auf Mastodon sind vor der Lücke bereits geschützt. Die von uns genutzte Instanz social.anoxinon.de ist bereits auf Version 4.2.5 aktualisiert worden. Danke dafür!
Die Version könnt ihr für von euch genutzte Instanzen in der Webansicht unten links sehen.