Der föderierte Kurznachrichtendienst Mastodon hat offenbar ein massives Problem, das Identitätsklau sehr einfach macht. Wie die Entwickler in einem Sicherheitshinweis melden, können Angreifer beliebige Konten übernehmen und deren Identität stehlen. Der Sicherheitshinweis, veröffentlicht auf der Kollaborationsplattform Github, geizt absichtlich mit Details: Man wolle Admins Zeit zum Aktualisieren ihrer Instanzen geben und potentiellen Angreifern nicht den Modus Operandi verraten, mit dem sie die Lücke ausnutzen könnten. Die Sicherheitslücke hat die CVE-ID CVE-2024-23832 erhalten und hat immerhin 9,4 von 10 CVSS-Punkten. Es handelt sich nach Einschätzung des Mastodon-Teams um eine leicht aus der Ferne ausnutzbare Lücke, die keinerlei Vorbedingungen mitbringt. Weder muss der Angreifer über besondere Privilegien verfügen, noch einen legitimen Nutzer austricksen, etwa mit einem gefälschten Link. Weitere Details verraten die Entwickler erst am 15. Februar. Nur wenige Minuten nach Veröffentlichung des Sicherheitshinweises begannen Administratoren großer Mastodon-Instanzen mit den notwendigen Updates. Das bestätigte etwa Jerry Bell, der Verwalter der Instanz infosec.exchange, gegenüber heise security. Wer selber eine Mastodon-Instanz betreibt, sollte sich zügig ans Update machen. Vom Fehler betroffen sind die Mastodon-Versionen
- 3.5.16 und älter,
- 4.0.12 und älter,
- 4.1.12 und älter sowie
- 4.2.4 und älter.
Die Versionen 3.5.17, 4.0.13, 4.1.13 und 4.2.5 beheben die Sicherheitslücke. Nach den Kapriolen um den Kurznachrichtendienst X dient Mastodon vielen Nutzern als neue Heimat und kann sich über regen Zulauf freuen. Zwar ist das soziale Netzwerk nicht so dezentral und ausfallsicher wie erhofft, jedoch haben auch viele Behörden und Netz-Promis sich mittlerweile dort angemeldet. Die Aussicht auf einen Identitätsdiebstahl dürfte ihnen nicht gefallen.