亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

本周三晚間，安全研究員Lenin Alevski警告說社交媒體平臺Mastodon的多個實例容易受到系統(tǒng)配置問題的影響。

過去一個月，大量Twitter用戶因特斯拉創(chuàng)始人埃隆·馬斯克接管Twitter所帶來的劇變而紛紛“叛逃”到“去中心化版Twitter”——Mastodon。

然而，Alevski和Gareth Heyes等安全研究人員發(fā)現(xiàn)Mastodon安全成熟度很差。

例如，Alevski發(fā)現(xiàn)Mastodon的一個實例——infosec.exchange被上傳到未能應用訪問控制的存儲桶。

Alevski在一篇技術博客文章（鏈接在文末）透露該漏洞使攻擊者有可能訪問用戶的個人資料圖片或任何其他上傳的數(shù)據(jù)，并將其替換為任意內(nèi)容。

該漏洞還意味著攻擊者可以從服務器下載文件——包括通過直接消息（DM）共享的文件（Mastodon上的DM與Twitter不同，省略了加密）。攻擊者還有可能實施包括刪除服務器文件的破壞性攻擊。總之，這個安全漏洞為各種惡作劇和惡意行為敞開了大門。

Alevski向管理Mastodon的infosec.exchange實例的系統(tǒng)管理員Jerry Bell報告了該漏洞后立即得到響應。

Bell表示：“該漏洞是存儲桶訪問策略配置錯誤，我沒有從默認訪問路徑中刪除寫訪問權(quán)限。”

在問題解決后發(fā)布的博客文章中，Alevski補充說：“對象存儲級別的系統(tǒng)配置錯誤會破壞Mastodon的所有安全機制”。

Alevski最后警告說：infosec.exchange絕不是Mastodon生態(tài)系統(tǒng)中系統(tǒng)配置漏洞的個案。安全研究人員仍在不斷發(fā)現(xiàn)其他Mastodon實例上的配置錯誤。

“我在其中幾個（其他實例）中發(fā)現(xiàn)了類似的問題，并且已經(jīng)報告了這些漏洞。”Alevski說道。

參考鏈接：

https://www.alevsk.com/2022/11/system-misconfiguration-is-the-number-one-vulnerability-at-least-for-mastodon/

來源：GoUpSec