Bonjour à tous,

dans la nuit, une faille de sécurité a été trouvée et exploitée par des acteurs malveillants sur les instances principales de Lemmy, à savoir notamment lemmy.world et lemmy.blahaj.zone

Un patch a été fait pour corriger une des causes de cette vulnérabilité et est aujourd’hui appliqué à jlai.lu, sans pour autant avoir la certitude qu’il s’agit du seul vecteur d’exploitation.

Cette vulnérabilité permet d’injecter du JavaScript sur la page que vous consultez et a été exploitée pour extraire les informations suivantes :

  • Token d’authentification
  • Statut de l’utilisateur

D’après mes investigations, jlai.lu n’a pas été ciblée et n’a donc pas été impactée.

Par mesure de précaution, j’ai procédé à l’invalidation de tous les tokens d’authentification des utilisateurs de l’instance après avoir passé le patch. Cela va donc vous forcer à vous ré-authentifier, et empêcher quiconque possède un de vos anciens token d’utiliser votre session.

Tant que la racine du problème n’a pas été convenablement investiguée, je procéderais régulièrement à cette invalidation par précaution, à hauteur d’une fois par jour maximum pour limiter à la fois les impacts sur votre navigation, mais surtout les impacts d’un potentiel vol de session.

  • Syl
    link
    fedilink
    Français
    arrow-up
    4
    ·
    edit-2
    4 months ago

    Removed by mod

    • Camus (il, lui)
      link
      fedilink
      Français
      arrow-up
      2
      ·
      1 year ago

      Attention que le MFA actuellement ne fournit pas de code de backup, l’implémentation n’est pas encore complète (possibilité de changer le mot de passe sans MFA) Il n’est pas forcément recommandé de l’activer actuellement

      • Syl
        link
        fedilink
        Français
        arrow-up
        1
        ·
        edit-2
        4 months ago

        Removed by mod

      • KaKi87@sh.itjust.works
        link
        fedilink
        Français
        arrow-up
        1
        ·
        edit-2
        1 year ago

        Sauf en utilisant un gestionnaire de mots de passe supportant les TOTP, ainsi impossible à perdre et rendant les codes de sauvegarde quasi inutiles, qui seraient de toutes façons stockés au même endroit. ^^

  • talou
    link
    fedilink
    Français
    arrow-up
    2
    ·
    1 year ago

    Merci pour cette maintenance. J’imagine que c’est pour ça que Jerboa n’affiche plus le flux New/subscribed et ne permet plus de poster.

    • anansiOPMA
      link
      fedilink
      Français
      arrow-up
      4
      ·
      1 year ago

      Il faut que tu forces le login à nouveau d’une manière ou d’une autre pour que ça remarche vu que ça gère pas correctement l’invalidation des tokens malheureusement. Essaie un logout/login.

      • Tetsuo
        link
        fedilink
        Français
        arrow-up
        1
        ·
        1 year ago

        Au moins vu le rapport de ce bug, je pense que tu étais conscient du problème :)