Платформа Mastodon объявила об исправлении критической уязвимости в своем ПО. Mastodon - программное обеспечение с открытым исходным кодом для развертывания распределенных социальных сетей. В отличие от централизованных социальных сетей, где несогласный с политикой администрации пользователь просто перестает быть пользователем, в Mastodon не существует единой администрации. Вместо этого управление осуществляют тысячи узлов, каждый из которых волен устанавливать собственные правила и политики, и пользователь всегда может найти то, что подходит именно ему.

Одной из важных функций Mastodon является функция микроблогинга - создания и обмена короткими сообщениями, которые здесь носят название «гудков» (toots). Особую популярность платформа завоевала после приобретения Илоном Маском сервиса Twitter, и сегодня число ее пользователей оценивается в 12 миллионов человек, распределенных по 11 тысячам децентрализованных узлов.

Уязвимость, получившая идентификатор CVE-2024-23832, проистекает из недостаточной проверки подлинности авторизации в Mastodon. Она потенциально позволяет злоумышленникам войти в чужую учетную запись и перевести ее на себя. Уязвимости присвоен уровень опасности в 9,4 балла из 10 возможных, никаких способов защититься от нее не существует. К счастью, накануне специалисты Mastodon выпустили версию своего ПО 4.2.5, в которой уязвимость уже исправлена. Всем администраторам узлов (серверов) Mastodon настоятельно рекомендовано незамедлительно обновить ПО. С этой целью в распределенной сети распространяются баннеры с уведомлением о наличии критической уязвимости. Технические ее подробности пока держатся в тайне: представители Mastodon стремятся дать больше времени на установку обновления и тем самым защитить пользователей от атак. Ожидается, что подробные данные об уязвимости будут раскрыты 15 февраля.