Conversation

Notices

1. Embed this notice
   HyoYoshikawa (hyoyoshikawa@toot.blue)'s status on Friday, 02-Feb-2024 13:56:10 JST HyoYoshikawa

   • かき@GNUsocialJP

   【toot_blue を利用されている皆様へ】

   セキュリティに関する緊急アップデート（v4.2.5 ）の通知が来ていますので、本日2/3 深夜1:00頃に急遽アップデート作業と再起動を行います。接続できない時間は1分程度と思われますがあらかじめお知らせいたします。
   （再起動前に再度お知らせします）

   • Embed this notice
     HyoYoshikawa (hyoyoshikawa@toot.blue)'s status on Saturday, 03-Feb-2024 01:10:05 JST HyoYoshikawa

     in reply to

     • かき@GNUsocialJP

     開始が遅れましたが、ただいまアップデート準備中です。再起動の際にはお知らせします。

   • Embed this notice
     HyoYoshikawa (hyoyoshikawa@toot.blue)'s status on Saturday, 03-Feb-2024 01:20:02 JST HyoYoshikawa

     in reply to

     • かき@GNUsocialJP

     01:25に再起動を行います。終了後にご連絡をします。

   • Embed this notice
     HyoYoshikawa (hyoyoshikawa@toot.blue)'s status on Saturday, 03-Feb-2024 01:27:21 JST HyoYoshikawa

     in reply to

     • かき@GNUsocialJP

     ただいま、v4.2.5へのアップデートが終了しました。ご協力ありがとうございました。

     https://github.com/mastodon/mastodon/releases/tag/v4.2.5

   • Embed this notice
     HyoYoshikawa (hyoyoshikawa@toot.blue)'s status on Saturday, 03-Feb-2024 17:54:27 JST HyoYoshikawa

     in reply to

     • かき@GNUsocialJP

     mastodonの今回の緊急アップデート（v4.2.5）は以下の脆弱性に緊急の対応が必要なため実施されました。これからの方は参考にしてください。

     CVE-2024-23832は、分散型ソーシャルネットワークプラットフォームであるMastodonに存在する重大な脆弱性です。この脆弱性により、攻撃者は不十分な起源検証のために、任意のMastodonアカウントをなりすまし、乗っ取ることが可能になります。問題は、Mastodon内のLDAP認証設定において、認証リクエストの起源を適切に検証していない点にあります。

     この脆弱性は、Mastodonの3.5.17より前のすべてのバージョンに影響し、4.0.x、4.1.x、4.2.xシリーズのバージョンも、それぞれ4.0.13、4.1.13、4.2.5より前のバージョンが影響を受けています

     https://www.theregister.com/2024/02/02/critical_vulnerability_in_mastodon_is/

     https://www.tenable.com/cve/CVE-2024-23832

   • Embed this notice
     HyoYoshikawa (hyoyoshikawa@toot.blue)'s status on Saturday, 03-Feb-2024 18:50:21 JST HyoYoshikawa

     in reply to

     • かき@GNUsocialJP
     • h12o

     @h12o ご指摘ありがとうございます。機械翻訳なのでLDAP認証に関わる表現が不正確かもしれません。いったん検証後に再投稿します。ありがとうございました。

   • Embed this notice
     h12o (h12o@mastodon.tokyo)'s status on Saturday, 03-Feb-2024 18:50:22 JST h12o

     in reply to

     @hyoyoshikawa すみませんが質問です。diffとリンク先からは「問題は、Mastodon内のLDAP認証設定において、認証リクエストの起源を適切に検証していない点にあります。」とは読み取れなかったのですが、どの辺りを訳されたか知りたいと思っています。

     脆弱性の詳細は私自身把握していない（把握していたとしても公式情報以上は書かない）のですが、MastodonのLDAP連携機能に脆弱性があるのだとすると、攻撃条件が複雑になってCVSSがそこまでは上がらないのでは?と思っているとともに、大多数のサーバーは影響を受けないとも考えていて、私の頭の中で整理がついていません……

   • Embed this notice
     h12o (h12o@mastodon.tokyo)'s status on Saturday, 03-Feb-2024 21:23:21 JST h12o

     in reply to

     @hyoyoshikawa ご確認ありがとうございます。

     Tenableの文章で、ピリオドがあって然るべきところがないように見受けられる箇所があったので、そこが原因かもしれません。

   • Embed this notice
     HyoYoshikawa (hyoyoshikawa@toot.blue)'s status on Saturday, 03-Feb-2024 21:23:21 JST HyoYoshikawa

     in reply to

     • かき@GNUsocialJP
     • h12o

     @h12o

     LDAP認証と今回の脆弱性についての関係を下記にまとめました。一部AIによる参考情報も引いています。

     「MastodonのLDAP連携機能に脆弱性」という表現が妥当かどうかわかりませんが、リンク先の内容をご覧いただけますか。

     https://note.com/hyoyoshikawa/n/n73441cc7e7e5

   • Embed this notice
     h12o (h12o@mastodon.tokyo)'s status on Saturday, 03-Feb-2024 23:21:26 JST h12o

     in reply to

     @hyoyoshikawa なるほど、AIによるまとめがあるのですね。私はこのAIによるまとめには疑問を持っています。

     私は、Tenableの「Mastodon is a free, open-source social network server based on ActivityPub Mastodon allows configuration of LDAP for authentication.」と「Due to insufficient origin validation in all Mastodon, attackers can impersonate and take over any remote account.」は意味が連続していないと考えています。また、MastodonがLDAP認証に対応していることは確かですが、GHSA-3fjr-858r-92rwにはLDAPに関する言及がありません。

     リンクは今回の修正コミットなのですが、LDAPではなくActivityPubまわりの修正であるように見えるのです。
     https://github.com/mastodon/mastodon/commit/1726085db5cd73dd30953da858f9887bcc90b958

   • Embed this notice
     HyoYoshikawa (hyoyoshikawa@toot.blue)'s status on Saturday, 03-Feb-2024 23:21:26 JST HyoYoshikawa

     in reply to

     • かき@GNUsocialJP
     • h12o

     @h12o

     コミットも確認しました。なるほどですね。流れとしてもActivityPub認証に関する修正と考えた方が合理的な気もします。LDAPに関してはTenableの記述がAIのミスリードを誘ったのかもしれませんね。この書き方ですとLDAPと insufficient origin validationとの関連を推測してむすびつけたのかもしれません。