Hidetomo Hosono on Nostr: ...
Mastodonに「リモートユーザーのなりすましと乗っ取り」ができる脆弱性だそうで、2月15日に詳細が追って通知されるため、2月14日までに対応をすることをお勧めします。
(以下はh12oによる機械翻訳ベースの翻訳)
まとめ
すべてのMastodonでオリジンの検証が不十分なため、攻撃者はあらゆるリモートアカウントになりすまして乗っ取ることができます。
3.5.17 より前のすべてのMastodonバージョンに脆弱性があるほか、4.0.13より前の4.0.xバージョン、4.1.13より前の4.1.xバージョン、4.2.5より前の4.2.xバージョンも脆弱です。
詳細
追って通知します。このアドバイザリは、管理者の更新に要する時間を考慮して、2024年2月15日により詳細な情報が追加されます。これは、多少なりとも詳細があることによって、攻撃が非常に容易になると想定されるためです。
https://github.com/mastodon/mastodon/security/advisories/GHSA-3fjr-858r-92rw
(以下はh12oによる機械翻訳ベースの翻訳)
まとめ
すべてのMastodonでオリジンの検証が不十分なため、攻撃者はあらゆるリモートアカウントになりすまして乗っ取ることができます。
3.5.17 より前のすべてのMastodonバージョンに脆弱性があるほか、4.0.13より前の4.0.xバージョン、4.1.13より前の4.1.xバージョン、4.2.5より前の4.2.xバージョンも脆弱です。
詳細
追って通知します。このアドバイザリは、管理者の更新に要する時間を考慮して、2024年2月15日により詳細な情報が追加されます。これは、多少なりとも詳細があることによって、攻撃が非常に容易になると想定されるためです。
https://github.com/mastodon/mastodon/security/advisories/GHSA-3fjr-858r-92rw