Bonjour à tous,

dans la nuit, une faille de sécurité a été trouvée et exploitée par des acteurs malveillants sur les instances principales de Lemmy, à savoir notamment lemmy.world et lemmy.blahaj.zone

Un patch a été fait pour corriger une des causes de cette vulnérabilité et est aujourd’hui appliqué à jlai.lu, sans pour autant avoir la certitude qu’il s’agit du seul vecteur d’exploitation.

Cette vulnérabilité permet d’injecter du JavaScript sur la page que vous consultez et a été exploitée pour extraire les informations suivantes :

  • Token d’authentification
  • Statut de l’utilisateur

D’après mes investigations, jlai.lu n’a pas été ciblée et n’a donc pas été impactée.

Par mesure de précaution, j’ai procédé à l’invalidation de tous les tokens d’authentification des utilisateurs de l’instance après avoir passé le patch. Cela va donc vous forcer à vous ré-authentifier, et empêcher quiconque possède un de vos anciens token d’utiliser votre session.

Tant que la racine du problème n’a pas été convenablement investiguée, je procéderais régulièrement à cette invalidation par précaution, à hauteur d’une fois par jour maximum pour limiter à la fois les impacts sur votre navigation, mais surtout les impacts d’un potentiel vol de session.

  • talou
    link
    fedilink
    Français
    arrow-up
    2
    ·
    1 year ago

    Merci pour cette maintenance. J’imagine que c’est pour ça que Jerboa n’affiche plus le flux New/subscribed et ne permet plus de poster.

    • anansiOPMA
      link
      fedilink
      Français
      arrow-up
      4
      ·
      1 year ago

      Il faut que tu forces le login à nouveau d’une manière ou d’une autre pour que ça remarche vu que ça gère pas correctement l’invalidation des tokens malheureusement. Essaie un logout/login.

      • Tetsuo
        link
        fedilink
        Français
        arrow-up
        1
        ·
        1 year ago

        Au moins vu le rapport de ce bug, je pense que tu étais conscient du problème :)