Meta

300 readers

12 users here now

Status du serveur jlai.lu

Retrouvez-nous sur : Le chat Matrix
Communauté de secours en cas d'accident ou maintenance sur jlai.lu

NB : La communauté de secours s'utilise avec votre compte alternatif du fédiverse hors jlai.lu.

Exemple :

[email protected] : oui
[email protected] : non car si le serveur jlai.lu est en pamne le compte aussi.

Meta

Meta est dédié à la discussions autour de l'instance lemmy : proposition, suggestion, amélioration, personalisation, recrutement de modos, promo de communauté...

En cas de problème avec une communauté

Pour tout litige avec une équipe de modération ou absence de réponse, vous pouvez contacter par message privé un modo-admin

Pour toute demande d'aide technique

Si vous rencontrez des soucis avec Lemmy, le fédiverse, merci d'utiliser : [email protected]

Nos tutos :

founded 1 year ago

MODERATORS

[email protected]

[IMPORTANT] - Faille de sécurité sur Lemmy (jlai.lu)

submitted 1 year ago* (last edited 1 year ago) by [email protected] to c/[email protected]

18 comments fedilink hide all child comments

Bonjour à tous,

dans la nuit, une faille de sécurité a été trouvée et exploitée par des acteurs malveillants sur les instances principales de Lemmy, à savoir notamment lemmy.world et lemmy.blahaj.zone

Un patch a été fait pour corriger une des causes de cette vulnérabilité et est aujourd'hui appliqué à jlai.lu, sans pour autant avoir la certitude qu'il s'agit du seul vecteur d'exploitation.

Cette vulnérabilité permet d'injecter du JavaScript sur la page que vous consultez et a été exploitée pour extraire les informations suivantes :

Token d'authentification
Statut de l'utilisateur

D'après mes investigations, jlai.lu n'a pas été ciblée et n'a donc pas été impactée.

Par mesure de précaution, j'ai procédé à l'invalidation de tous les tokens d'authentification des utilisateurs de l'instance après avoir passé le patch. Cela va donc vous forcer à vous ré-authentifier, et empêcher quiconque possède un de vos anciens token d'utiliser votre session.

Tant que la racine du problème n'a pas été convenablement investiguée, je procéderais régulièrement à cette invalidation par précaution, à hauteur d'une fois par jour maximum pour limiter à la fois les impacts sur votre navigation, mais surtout les impacts d'un potentiel vol de session.

you are viewing a single comment's thread
view the rest of the comments

[–] [email protected] 4 points 1 year ago* (last edited 1 year ago) (2 children)

il a fallu clean les cookies en profondeur pour que je puisse me relogger. tentative d'activation du MFA, je ne vois pas quoi faire avec le lien, en tout cas il ne s'ouvre pas avec Aegis.

edit: ok pour le MFA, on peut recréer le compte à la main et utiliser le "secret" dans l'appli.

[–] [email protected] 2 points 1 year ago (2 children)

Attention que le MFA actuellement ne fournit pas de code de backup, l'implémentation n'est pas encore complète (possibilité de changer le mot de passe sans MFA) Il n'est pas forcément recommandé de l'activer actuellement

[–] [email protected] 1 points 11 months ago* (last edited 11 months ago) (1 children)

Sauf en utilisant un gestionnaire de mots de passe supportant les TOTP, ainsi impossible à perdre et rendant les codes de sauvegarde quasi inutiles, qui seraient de toutes façons stockés au même endroit. ^^

[–] [email protected] 1 points 11 months ago (1 children)

Là c'est carrément l'implémentation du mécanisme qui était foireuse apparemment, donc les TOTP ne fonctionnaient pas toujours

[–] [email protected] 1 points 11 months ago (1 children)

Ah... Te souviendrais-tu par hasard d'un ticket suivant ce problème ?

[–] [email protected] 1 points 11 months ago

https://jlai.lu/post/48210

[–] [email protected] 1 points 1 year ago* (last edited 1 year ago)

ça marche merci, je vais donc le retirer alors. un SSO aurait quand même été le bienvenu :)

[–] [email protected] 2 points 1 year ago* (last edited 1 year ago)

La même pour moi, sans MFA