Mastodon

В Mastodon, платформе для создания децентрализованной социальной сети, объединяющей разрозненные серверы разных участников, выявлена критическая уязвимость (CVE-2023-36460), позволяющая создать или перезаписать произвольный файл в любом каталоге на сервере, насколько позволяют права доступа, под которыми выполняется Mastodon. Проблема может быть использована для организации выполнения своего кода на серверах, например, атакующий может разместить файл в каталоге с web-скриптами, изменить файл ~/.ssh/authorized_keys с ключами SSH или добавить автозапускаемый сценарий, такой как “~/.bashrc” или ~/....

Компания Mozilla объявила о начале ограниченного бета-тестирования социальной сети Mozilla.social, построенной на основе свободной платформы Mastodon, предоставляющей возможность ведения микроблогов в стиле Twitter и позволяющей создавать объединённые (federated) сети из разрозненных серверов, единая структура связей в которых образуется через применение набора протоколов ActivityPub. Подключение новых участников к Mozilla.social пока ограничено и требует заполнение заявки на попадание в список ожидания. Работа осуществляется в привязке к учётной записи в Firefox Account. https://www.opennet.ru/opennews/art.shtml?num=59079