Bonjour à tous,
dans la nuit, une faille de sécurité a été trouvée et exploitée par des acteurs malveillants sur les instances principales de Lemmy, à savoir notamment lemmy.world et lemmy.blahaj.zone
Un patch a été fait pour corriger une des causes de cette vulnérabilité et est aujourd’hui appliqué à jlai.lu, sans pour autant avoir la certitude qu’il s’agit du seul vecteur d’exploitation.
Cette vulnérabilité permet d’injecter du JavaScript sur la page que vous consultez et a été exploitée pour extraire les informations suivantes :
- Token d’authentification
- Statut de l’utilisateur
D’après mes investigations, jlai.lu n’a pas été ciblée et n’a donc pas été impactée.
Par mesure de précaution, j’ai procédé à l’invalidation de tous les tokens d’authentification des utilisateurs de l’instance après avoir passé le patch. Cela va donc vous forcer à vous ré-authentifier, et empêcher quiconque possède un de vos anciens token d’utiliser votre session.
Tant que la racine du problème n’a pas été convenablement investiguée, je procéderais régulièrement à cette invalidation par précaution, à hauteur d’une fois par jour maximum pour limiter à la fois les impacts sur votre navigation, mais surtout les impacts d’un potentiel vol de session.
Là c’est carrément l’implémentation du mécanisme qui était foireuse apparemment, donc les TOTP ne fonctionnaient pas toujours
Ah… Te souviendrais-tu par hasard d’un ticket suivant ce problème ?
https://jlai.lu/post/48210