Lemmy.world is volgens berichten gehackt en verspreid mogelijk malware. Is het mogelijk om te defedereren met ze totdat ze alles weer onder controle hebben? Lijkt mij verstandiger.
Edit1: Mijn spell checker snapte het woord defedereren niet. Edit2: Enkele andere instances zijn ook gehackt of down om te voorkomen dat ze gecompromitteerd raken. Lijkt een kwetsbaarheid te zijn in de code. Hopelijk komt er snel een fix.
Het issue is gefixt in Lemmy 0.18.2, en gisterenavond heb ik de update uitgerold. Deze XSS was mogelijk door een issue in het afhandelen van custom emojis. Die waren op deze instance niet aanwezig.
Superfijn. Bedankt!
Oh jee, ze draaien zo te zien ook al de laatste versie. Een heuse zero day?
Ze melden net dat ze het gefixt hebben, maar willen geen details geven over wat nu precies de vulnerability is omdat nog niet alle andere instances een oplossing hebben kunnen implementeren. Maar klinkt als een zero day inderdaad als ze gewoon de laatste versie hadden.
willen geen details geven over wat nu precies de vulnerability.
Inmiddels wel beschikbaar: https://lemmy.world/post/1293336
deleted by creator
Je kunt, voorzover ik heb begrepen uit andere berichten, javascript injecteren op bepaalde plekken in Lemmy (o.a. in de about). Vanaf dat moment zijn de mogelijkheden eindeloos en gezien de meeste browsers javascript braaf uitvoeren is dit best een serieus probleem.
Oh, dat is wel echt een domme fout in de code dan.
