this post was submitted on 10 Jul 2023
86 points (97.8% liked)

Meta

733 readers
2 users here now

Yhteisö instanssia koskeville tiedotuksille, palautteelle, metakeskustelulle ja avulle. Katso myös UKK!

Community for announcements regarding the instance, feedback, meta discussion and help. Check the FAQ also!

Users needing support can also come to our Matrix Space.

Tukea tarvitsevat käyttäjät voivat myös tulla Matrix-tilaamme.

founded 3 years ago
MODERATORS
 

During the last few days several Lemmy instances such as Lemmy.world and lemmy.blahaj.zone have come victims of hacking. This hacking happened by exploiting an XSS vulnerability enabled by custom emojis set by an instance. This way the admins' cookies could be captured. A good recap of the incident has been made here.

This vulnerability doesn't concern Sopuli, as we have not enabled our own emojis. Custom emojis set by an instance don't federate with other instances. Even after this incident it may take longer time to enable those. In case you are wondering why you had to login again, I replaced the JWT secret used by the instance with a new one just in case.


Muutaman viime päivän aikana muutamat Lemmy-instanssit kuten Lemmy.world ja lemmy.blahaj.zone ovat joutuneet hakkeroinnin uhreiksi. Tämä hakkerointi tapahtui hyödyntämällä instanssin omien emojien mahdollistamaa XSS-haavoittuvuutta. Näin ylläpitäjien evästeet saatiin haltuun. Tapauksesta on tehty hyvä tiivistys täällä.

Tämä haavoittuvuus ei koske Sopulia, koska emme ole ottaneet käyttöön omia emojeja. Instanssin itse asettamat emojit eivät federoidu muiden instanssien kanssa. Tämän tapauksen jälkeenkin niiden käyttöönotossa saattaa kestää pidemmän aikaa. Jos ihmettelette, miksi joudutte kirjautumaan uudestaan, korvasin instanssin käyttämän JWT-käyttöoikeustietueen varuilta uudella.

you are viewing a single comment's thread
view the rest of the comments
[–] QuentinCallaghan@sopuli.xyz 2 points 1 year ago

Sounds like a bug to me.