Παιδιά, τι έγινε με το lemmy; Κινδυνεύουμε κι εμείς εδώ; Κινδυνεύουμε παντού; Είμαστε under attack?

  • @sv1sjp
    link
    71 year ago

    xss επίθεση βάση των custom emojis στο lemmy.world και σε άλλο ένα instance. Η επίθεση ήταν βασισμένη στο UI του Lemmy και όχι στο ίδιο το Lemmy ως “πρωτόκολλο”.

    Πρακτικά βάση custom emoji, έβλεπες ένα πόστ και ο κώδικας έκλεβε το session cookie και το χρησιμοποιούσε και έμπαινε κανονικά στον λογαριασμό σου. Ακόμα χειρότερα, κατάφερε και πήρε το μπισκότο ενός admin, και τα έκανε όλα χάλια ( πχ το είχε βάλει να κάνει redirect το lemmy.world σε random sites με Gay porn, Israel κτλπ κτλπ. )Και το χειρότερο: Κόψανε από ομοσπονδία όλα τα instances και αφήσαν μόνο αυτό του Threads του Instagram.

    Ο τρόπος που δούλευε το exploit δεν μπορούσε να φύγει σε άλλη ομοσπονδία, όμως όσοι είχαν ενεργοποιημένα τα custom emojis, κινδύνευαν.

    Μάλιστα, κάποιος έξυπνος ανέβασε ως pull request διόρθωση για το exploit δημόσια, πριν patchαριστούν τα υπόλοιπα instances, ανεβάζοντας περισσότερο τον κίνδυνο.

    Η επίθεση αφορούσε cookies, συνεπώς δεν έγινε κάποιο leak σε επίπεδο κωδικών (έστω και hashαρισμένων). Ήταν όλα στο επίπεδο του UI. Συνεπώς απλά με ένα εκ νέου login, όλα είναι οκέι!

    • ChrV
      link
      fedilink
      11 year ago

      Το pull request θα έπρεπε να είναι private και να γινόταν public αφότου είχαν πατσαριστει όλα τα instances? Και αν ναι γιατί;

      • @sv1sjp
        link
        21 year ago

        Θα έπρεπε να είχε σταλθεί ως email στους admin του lemmy.world και σιγά σιγά να ενημερωθούν και να αναβαθμιστούν όλοι οι μεγάλοι σέρβερς.

        Τώρα έτσι όπως έγινε, όλοι οι Αμερικάνικοι σέρβερς (μιας κι εκεί ήταν βαθιά μεσάνυχτα), έμειναν να τους φάνε οι περίεργοι μιας και υπήρχε το πώς. Και όταν υπάρχει μπροστά σου το “πως”, το exploitάρουν ακόμα και πιτσιρίκια που το βλέπουν σαν παιχνίδι

        • ChrV
          link
          fedilink
          11 year ago

          Ααα μαλιστα, σε ευχαριστώ για την εξήγηση

  • ChrV
    link
    fedilink
    51 year ago

    Αν κατάλαβα καλά υπήρχε ένα κενό ασφαλείας στο lemmy με τα custom emojis και επηρέαζε όσα lemmy instances είχαν αυτή τη δυνατότητα. Έχει διορθωθεί πλέον.
    Όσοι είμαστε στο kbin δεν νομίζω να μας επηρεάζει.

    Περισσότερες λεπτομέρειες:
    https://lemmy.world/post/1290412
    https://lemmy.world/post/1293336