Παιδιά, τι έγινε με το lemmy; Κινδυνεύουμε κι εμείς εδώ; Κινδυνεύουμε παντού; Είμαστε under attack?
xss επίθεση βάση των custom emojis στο lemmy.world και σε άλλο ένα instance. Η επίθεση ήταν βασισμένη στο UI του Lemmy και όχι στο ίδιο το Lemmy ως “πρωτόκολλο”.
Πρακτικά βάση custom emoji, έβλεπες ένα πόστ και ο κώδικας έκλεβε το session cookie και το χρησιμοποιούσε και έμπαινε κανονικά στον λογαριασμό σου. Ακόμα χειρότερα, κατάφερε και πήρε το μπισκότο ενός admin, και τα έκανε όλα χάλια ( πχ το είχε βάλει να κάνει redirect το lemmy.world σε random sites με Gay porn, Israel κτλπ κτλπ. )Και το χειρότερο: Κόψανε από ομοσπονδία όλα τα instances και αφήσαν μόνο αυτό του Threads του Instagram.
Ο τρόπος που δούλευε το exploit δεν μπορούσε να φύγει σε άλλη ομοσπονδία, όμως όσοι είχαν ενεργοποιημένα τα custom emojis, κινδύνευαν.
Μάλιστα, κάποιος έξυπνος ανέβασε ως pull request διόρθωση για το exploit δημόσια, πριν patchαριστούν τα υπόλοιπα instances, ανεβάζοντας περισσότερο τον κίνδυνο.
Η επίθεση αφορούσε cookies, συνεπώς δεν έγινε κάποιο leak σε επίπεδο κωδικών (έστω και hashαρισμένων). Ήταν όλα στο επίπεδο του UI. Συνεπώς απλά με ένα εκ νέου login, όλα είναι οκέι!
Το pull request θα έπρεπε να είναι private και να γινόταν public αφότου είχαν πατσαριστει όλα τα instances? Και αν ναι γιατί;
Θα έπρεπε να είχε σταλθεί ως email στους admin του lemmy.world και σιγά σιγά να ενημερωθούν και να αναβαθμιστούν όλοι οι μεγάλοι σέρβερς.
Τώρα έτσι όπως έγινε, όλοι οι Αμερικάνικοι σέρβερς (μιας κι εκεί ήταν βαθιά μεσάνυχτα), έμειναν να τους φάνε οι περίεργοι μιας και υπήρχε το πώς. Και όταν υπάρχει μπροστά σου το “πως”, το exploitάρουν ακόμα και πιτσιρίκια που το βλέπουν σαν παιχνίδι
Ααα μαλιστα, σε ευχαριστώ για την εξήγηση
Αν κατάλαβα καλά υπήρχε ένα κενό ασφαλείας στο lemmy με τα custom emojis και επηρέαζε όσα lemmy instances είχαν αυτή τη δυνατότητα. Έχει διορθωθεί πλέον.
Όσοι είμαστε στο kbin δεν νομίζω να μας επηρεάζει.Περισσότερες λεπτομέρειες:
https://lemmy.world/post/1290412
https://lemmy.world/post/1293336