this post was submitted on 10 Jul 2023
18 points (100.0% liked)

feddit.nl announcements

846 readers
1 users here now

founded 2 years ago
MODERATORS
tedvdb
18
Tijdelijk defedereren met lemmy.world? (self.feddit_nl)
submitted 2 years ago* (last edited 2 years ago) by Shelena to c/feddit_nl
7 comments fedilink hide all child comments
 

Lemmy.world is volgens berichten gehackt en verspreid mogelijk malware. Is het mogelijk om te defedereren met ze totdat ze alles weer onder controle hebben? Lijkt mij verstandiger.

Edit1: Mijn spell checker snapte het woord defedereren niet. Edit2: Enkele andere instances zijn ook gehackt of down om te voorkomen dat ze gecompromitteerd raken. Lijkt een kwetsbaarheid te zijn in de code. Hopelijk komt er snel een fix.

all 8 comments
sorted by: hot top controversial new old
[–] tedvdb 5 points 2 years ago (1 children)

Het issue is gefixt in Lemmy 0.18.2, en gisterenavond heb ik de update uitgerold. Deze XSS was mogelijk door een issue in het afhandelen van custom emojis. Die waren op deze instance niet aanwezig.

[–] Shelena 2 points 2 years ago

Superfijn. Bedankt!

[–] Emil 3 points 2 years ago (1 children)

Oh jee, ze draaien zo te zien ook al de laatste versie. Een heuse zero day?

[–] Shelena 5 points 2 years ago (2 children)

Ze melden net dat ze het gefixt hebben, maar willen geen details geven over wat nu precies de vulnerability is omdat nog niet alle andere instances een oplossing hebben kunnen implementeren. Maar klinkt als een zero day inderdaad als ze gewoon de laatste versie hadden.

[–] Flashback956 3 points 2 years ago (1 children)

Je kunt, voorzover ik heb begrepen uit andere berichten, javascript injecteren op bepaalde plekken in Lemmy (o.a. in de about). Vanaf dat moment zijn de mogelijkheden eindeloos en gezien de meeste browsers javascript braaf uitvoeren is dit best een serieus probleem.

[–] Shelena 1 points 2 years ago

Oh, dat is wel echt een domme fout in de code dan.

[–] cambionn 2 points 2 years ago (1 children)

willen geen details geven over wat nu precies de vulnerability.

Inmiddels wel beschikbaar: https://lemmy.world/post/1293336