概要
「改版: Pleroma v2.5.0の公開 | GNU social JP」で紹介したPleromav2.5に脆弱性対応のV2.5.4のパッチリリースがあったので紹介します。
普段は脆弱性対応のパッチリリースは内容が細かすぎるので紹介しないのですが、今回のリリースにあたって、Pleromaの最近の脆弱性について、現在の開発体制の問題などの議論があり、興味深かったのでその記録が目的です。
2023-08-04 Thu/05 Friに立て続けに以下の投稿 (Pleroma security release: 2.5.3/Pleroma security release: 2.5.4) で告知されていました。
A new Pleroma security release is out that you should install immediately. If you can not do so for some reason, activate filename anonymization. ping lain@lain.com if you want a reply|lain@pleroma.soykaf.com
Thanks to @feld and @lanodan for handling this so quickly!
https://pleroma.social/announcements/2023/08/04/pleroma-security-release-2.5.3/
Another Pleroma issue has been found, similar to yesterday’s but this one also affects single user instances. Please update your servers once more, akkoma also has the same patch.
https://pleroma.social/announcements/2023/08/05/pleroma-security-release-2.5.4/
Thanks again to everyone involved in reporting and fixing this!
脆弱性対応なので、迅速な更新が望まれるとのことです。
v2.5.3ではパストラバーサルの脆弱性があったようで、アクセス許可を強化して対策したそうです。具体的には、Emoji pack loaderで名前の無害化を行い、設定ファイルやディレクトリーに付与していたアクセス権限を最低限に減らしたようです。
v2.5.4ではXML External Entity (XXE) 経由のファイル読込に脆弱性があり、サーバーのファイルシステムから任意のファイル読込を許可する脆弱性があったようです。Akkomaにも同様のパッチが提供されているとのことです。
内容的に、「Pleromaの右派系サーバーPoastのデータ流出とTruth Socialとの関係 | GNU social JP」の機密データ流出と関係ありそうな、脆弱性でした。
内容
今回の脆弱性について、「話題: Pleroma元トップ開発者Alex Gleasonの開発コミュニティーからの追放 | GNU social JP」で登場したAlex Gleasonが問題を指摘していました。
詳細プロフィール。SNS: X Twitter/GS=gnusocialjp@gnusocial.jp/WP=gnusocialjp@web.gnusocial.jp。2022-07-17からgnusocial.jpとweb.gnusocial.jpのサイトを運営しています。WordPressで分散SNSに参加しています。このアカウントの投稿に返信すると、サイトのコメント欄にも反映されます。
Comments