Bonjour à tous,
dans la nuit, une faille de sécurité a été trouvée et exploitée par des acteurs malveillants sur les instances principales de Lemmy, à savoir notamment lemmy.world et lemmy.blahaj.zone
Un patch a été fait pour corriger une des causes de cette vulnérabilité et est aujourd’hui appliqué à jlai.lu, sans pour autant avoir la certitude qu’il s’agit du seul vecteur d’exploitation.
Cette vulnérabilité permet d’injecter du JavaScript sur la page que vous consultez et a été exploitée pour extraire les informations suivantes :
- Token d’authentification
- Statut de l’utilisateur
D’après mes investigations, jlai.lu n’a pas été ciblée et n’a donc pas été impactée.
Par mesure de précaution, j’ai procédé à l’invalidation de tous les tokens d’authentification des utilisateurs de l’instance après avoir passé le patch. Cela va donc vous forcer à vous ré-authentifier, et empêcher quiconque possède un de vos anciens token d’utiliser votre session.
Tant que la racine du problème n’a pas été convenablement investiguée, je procéderais régulièrement à cette invalidation par précaution, à hauteur d’une fois par jour maximum pour limiter à la fois les impacts sur votre navigation, mais surtout les impacts d’un potentiel vol de session.
Sauf en utilisant un gestionnaire de mots de passe supportant les TOTP, ainsi impossible à perdre et rendant les codes de sauvegarde quasi inutiles, qui seraient de toutes façons stockés au même endroit. ^^
Là c’est carrément l’implémentation du mécanisme qui était foireuse apparemment, donc les TOTP ne fonctionnaient pas toujours
Ah… Te souviendrais-tu par hasard d’un ticket suivant ce problème ?
https://jlai.lu/post/48210