#tootroot updates machen!

Anybody know if Baraag has patched the #tootroot vulnerability yet?

https://github.com/mastodon/mastodon/security/advisories/GHSA-9928-3cp5-93fm

cc @satori

Da gusto estar en una instancia más actualizada. Es de las pocas que admiten 5000 carácteres o más sin problemas de idioma y de temática generalista.

Aunque si no me equivoco sigue siendo vulnerable a #TootRoot.

Uff.. @nebbia non ha ancora aggiornato il loro server per sanare la vulnerabilità #TootRoot a 8 giorni dalla pubblicazione dell'aggiornamento..

#Nebbia

@monster_mistress are you on this #tootroot fix already? Thanks for all you do! 💙💙💙

https://glitterkitten.co.uk/@doot/110705662211310545

Even exploits on #mastodon sound cute. Luckily, #tootroot is now fixed ☺️

Avec la faille de sécurité TootRoot, un attaquant peut compromettre un serveur Mastodon

https://www.it-connect.fr/avec-la-faille-de-securite-tootroot-un-attaquant-peut-compromettre-un-serveur-mastodon/

#mastodon #cve #tootroot #securite #faille

I run a Mastodon instance on Digital Ocean. Upgrading a 4.0.X instance there was pretty darn easy.

#TootRoot

https://arstechnica.com/security/2023/07/mastodon-fixes-critical-tootroot-vulnerability-allowing-node-hijacking/

I hope every #MastoAdmin has updated their #Mastodon #Instance to the latest version by now...the #TootRoot #vulnerability is not a joke! #CyberSecurity #InfoSec #Security https://arstechnica.com/security/2023/07/mastodon-fixes-critical-tootroot-vulnerability-allowing-node-hijacking/

https://www.golem.de/news/tootroot-mastodon-instanzen-liessen-sich-durch-spezielle-toots-kapern-2307-175646.html Mastodon-Instanzen ließen sich durch spezielle Toots kapern #mastodon #tootroot

@Sammy8806 Hast du layer8.space bereits auf 4.1.3 geupdatet? Dieses Update behebt eine kritische Sicherheitslücke namens #Tootroot.

@trumpet Yayy glad to see the big CVEs (lest I call it #TootRoot) were patched on this instance. Thanks for keeping us safe >v<

@bram idk how to check as a user but can you check if this instance is updated to 4.1.3 or later to prevent #TootRoot ?

Has Baraag fixed #tootroot yet?

https://youtu.be/3KCyhltnz7w

OMG #TootRoot

Concernant les dernières failles de sécurité : agissons ensemble pour une fédiverse sûre !

La dernière mise à jour de Mastodon va démontrer les défis d'une architecture fédérée avec un ensemble d'administrateurs répartis dans le monde, de compétences diverses en administration de serveurs et agissant pour la plupart dans leur temps libre.

Et pourtant, il y a cinq vulnérabilités dont la plus critique a un score CVSS de 9,9 sur 10 (et la suivante de 9,3), ce qui en fait une faille critique et facile à exploiter. Envoyer un pouet construit à cette fin peut suffire à implanter un code arbitraire sur le serveur cible, et ainsi à en prendre le contrôle ou bien capturer toutes les informations qui y sont stockées (dont les IP et adresses mail de ses utilisateurs).

Facile à résoudre, il faut que l'administrateur mette à jour son serveur (au moins vers 4.1.3, ou bien 4.0.5 ou 3.5.9 s'il est sur d'anciennes branches). Heureusement cela n'affectera a priori que son serveur, mais qui sait ce qu'un attaquant pourrait faire à partir d'un serveur compromis fédéré avec le reste de la fédiverse ? Se faire passer pour un autre par exemple ?

Si vous êtes sur un serveur à jour vos données sont protégées. Si ce n'est pas le cas contactez votre administrateur pour qu'il fasse cette mise à jour dès que possible. Il ne serait pas responsable de rester encore une semaine sans résoudre ce problème, d'autant que la solution est disponible et facile à appliquer, et que la vulnérabilité est désormais connue et exploitable. Chaque administrateur a probablement reçu un mail pour le prévenir directement (c'est mon cas et beaucoup d'autres que je connais), donc... y a plus qu'à !

#MastoAdmin #MastodonAdmin #Admin #TootRoot

https://arstechnica.com/security/2023/07/mastodon-fixes-critical-tootroot-vulnerability-allowing-node-hijacking/

And the prize for the funniest name of a security vulnerability goes to: Tootroot! 🎉
(CVE-2023-36460)

#Tootroot #security #Mastodon #CVE202336460

Updated my #mastodon server to 4.1.4.

Dear #mastodon admins, there was a new #security vulnerability discovered called #TootRoot, please update your servers!

« A critical bug tracked as CVE-2023-36460 was one of two vulnerabilities rated as critical that were fixed on Thursday. […] Independent security researcher Kevin Beaumont […] coined the name #TootRoot because user posts […] allowed hackers to potentially gain root access to instances. […] Thursday’s patch is the product of recent penetration testing work that the Mozilla Foundation funded […] In all, Mastodon’s Thursday patch batch fixed five vulnerabilities. » https://arstechnica.com/security/2023/07/mastodon-fixes-critical-tootroot-vulnerability-allowing-node-hijacking/

Anyone seen the #TootRoot vulnerability in the wild yet?