Bonjour à tous,

dans la nuit, une faille de sécurité a été trouvée et exploitée par des acteurs malveillants sur les instances principales de Lemmy, à savoir notamment lemmy.world et lemmy.blahaj.zone

Un patch a été fait pour corriger une des causes de cette vulnérabilité et est aujourd’hui appliqué à jlai.lu, sans pour autant avoir la certitude qu’il s’agit du seul vecteur d’exploitation.

Cette vulnérabilité permet d’injecter du JavaScript sur la page que vous consultez et a été exploitée pour extraire les informations suivantes :

  • Token d’authentification
  • Statut de l’utilisateur

D’après mes investigations, jlai.lu n’a pas été ciblée et n’a donc pas été impactée.

Par mesure de précaution, j’ai procédé à l’invalidation de tous les tokens d’authentification des utilisateurs de l’instance après avoir passé le patch. Cela va donc vous forcer à vous ré-authentifier, et empêcher quiconque possède un de vos anciens token d’utiliser votre session.

Tant que la racine du problème n’a pas été convenablement investiguée, je procéderais régulièrement à cette invalidation par précaution, à hauteur d’une fois par jour maximum pour limiter à la fois les impacts sur votre navigation, mais surtout les impacts d’un potentiel vol de session.

  • Tetsuo@jlai.lu
    link
    fedilink
    Français
    arrow-up
    1
    ·
    1 year ago

    Au moins vu le rapport de ce bug, je pense que tu étais conscient du problème :)