this post was submitted on 10 Jul 2023
20 points (100.0% liked)
Feddit.dk
947 readers
27 users here now
Et meta-forum for nyheder, meddelelser og debatter omkring Feddit.dk i sig selv.
Man er også velkommen til at poste her hvis der ikke er nogen andre fællesskaber der passer.
founded 2 years ago
MODERATORS
you are viewing a single comment's thread
view the rest of the comments
view the rest of the comments
Lite mer detaljerad förklaring: Det här har inte med custom emojier att göra. När du skriver en kommentar kan du ~~göra~~ formatteringstricks med
Markdown, men Markdown-parseren som Lemmy använder konverterar inte innehållet till plaintext när den lagras i databasen, vilket gör det möjligt att gömma körbara skript i en kommentar.Hackaren länkade bilder i kommentarerna vars alternativtext innehåller skriptet som stjäl autentiseringsnyckeln av användare som laddar kommentaren. Med den metoden fick hackaren tillgång till en av adminernas konton och la till bilden med skriptet i lemmy.world:s sidebar, så alla inloggade användare skulle få sin nyckel stulen (eftersom sidebaren laddas på varje sida).
Admin kan lägga till
script-src 'self' 'nonce-$RANDOM'till instansens Content Security Policy på proxyservern för att blockera körbara skript på sidan.Så vidt jeg forstår har det noget med custom emojier at gøre, fordi de bruger en specialiseret markdown-rendering, som desværre har denne sikkerhedsbrist. Normalt markdown rendering skulle være okay.
Ja, men det er så vidt jeg forstår kun custom emojis der bruger den markdown-renderer og det er kun hvis det er lokale custom emojis - custom emojis fra andre instanser skulle ikke være et problem, så vidt jeg kan se.
Beklager, men jeg sletter altså lige din kommentar da jeg ikke vil have instruktioner eller linket til den side stående.
Ingen fara, jag postade bilden eftersom skriptet är dolt (det visas bara de första få tecken men jag kan förstå hur andra skulle kunna klura ut tricket här då det finns andra bilder med hela skriptet inuti). Det är samma Markdown-renderen med stöd för custom emojier som används i alla textfält på Lemmy. Alla fält som visar text på 0.18-instanser och senare är sårbara för attacken om det inte införs en Content Security Policy som blockerar körbara skript.
Jo, men igen, den bruges aldrig på Feddit.dk siden vi ikke har nogen custom emojis endnu :). Så den sårbare kode røres aldrig. Det er hvad jeg selv forstår og hvad andre admins jeg snakker med har fortalt mig.
Utvecklaren själv tvivlar på att det ska vara endast emojis. Skärmavbilden nedan visar att det inte är en emoji utan en inbäddad bild.
Och finns det något hemligt nätverk av Lemmy-admins? På Matrix?
Ja matrix og nej det er ikke hemmeligt på nogen måde https://join-lemmy.org/contact
Någon testade det och du har rätt, exploiten nyttjar custom emojis för att köra skriptet men det är oklart om emojin måste vara instansens egen för att skriptet ska fungera.
Det som får mig att tro att federerade instanser också är sårbara är att lemmy.blahaj.zone också blev attackerad trots att hackarens mål är lemmy.world. Det kan vara att en lemmy.blahaj.zone admin läste en tråd på lemmy.world och fick sitt konto stulet.
Nogen der kender til et bug bounty program på Lemmy?
Ikke noget jeg kender til. Spørgsmålet er vel også om den skulle betales af udviklerne eller enkelte instanser. Men måske udviklerne giver bedst mening. Men altså. Det er jo ikke for-profit. Hvis man finder en fejl synes jeg da bare man bør rette den.
helt enig, men de har et budget, hvor det kunne give mening. Desværre er det jo sådan at ikke alle er lige godhjertede, og talentet nogle gange findes hos det modsatte team. Ville helt klart mene det ville lægge hos udviklerne, med mindre sikkerhedsfejlen er instans-specifik