GNU social JP
  • FAQ
  • Login
GNU social JPは日本のGNU socialサーバーです。
Usage/ToS/admin/test/Pleroma FE

  • Public

    • Public
    • Network
    • Groups
    • Featured
    • Popular
    • People

Conversation

Notices

  1. Embed this notice
    h12o (h12o@mastodon.tokyo)'s status on Wednesday, 29-Nov-2023 12:22:31 JST h12o h12o

    Capital OneがSSRFを突いた攻撃で情報漏えいを起こして大被害というのは徳丸さんお馴染みのネタだけど、AWSベースでメディアをS3に格納しているMastodonサーバーだと他人事ではないので注意。

    1. オープンなリバースプロキシー設定で169.254.169.254へのアクセスを許してしまう。
    2. 169.254.169.254からS3へのクレデンシャルを抜き取ってしまう。
    3. そのときデータのエクスポートで誰かが投稿本文とメディアのアーカイブを作成していると、S3に蓄積されているそれがき取れてしまう。

    https://logmi.jp/business/articles/329553

    In conversation about a year ago from mastodon.tokyo permalink

    Feeds

    • Activity Streams
    • RSS 2.0
    • Atom
    • Help
    • About
    • FAQ
    • TOS
    • Privacy
    • Source
    • Version
    • Contact

    GNU social JP is a social network, courtesy of GNU social JP管理人. It runs on GNU social, version 2.0.2-dev, available under the GNU Affero General Public License.

    Creative Commons Attribution 3.0 All GNU social JP content and data are available under the Creative Commons Attribution 3.0 license.