Mastodon hat im neusten Update vier große Lücken geschlossen.



Mastodon arbeitet nach einem föderierten Modell, das aus zahlreichen separaten Servern besteht, die als "Instanzen" bezeichnet werden. Mit über 12.000 Instanzen und 14,5 Millionen Nutzern. Einzelne Nutzer erstellen Konten auf bestimmten Instanzen, was den Austausch von Inhalten zwischen Nutzern auf verschiedenen Instanzen ermöglicht.

Die Sicherheitsanfälligkeit mit der Bezeichnung CVE-2023-36460 war eine von zwei kritischen Sicherheitsanfälligkeiten, die mit dem Update behoben wurden. Die andere kritische Sicherheitsanfälligkeit wurde unter der Bezeichnung CVE-2023-36459 geführt.

CVE-2023-36460, klassifiziert als "beliebige Dateierstellung durch Medienanhänge", lässt sich von Angreifern durch speziell gestaltete Mediendateien ausnutzen, indem sie den Medienverarbeitungscode von Mastodon dazu veranlassen, Dateien an einem beliebigen Ort zu erstellen. Dadurch können Angreifer jede für Mastodon zugängliche Datei überschreiben, was zu Denial-of-Service-Angriffen und willkürlicher Remote-Code-Ausführung führen kann.