⚠️ Message d'utilité publique : il y a une faille de sécurité dans Pixelfed, et ça expose *tout le monde*, y compris les comptes sur Mastodon.
Source en anglais : https://fokus.cool/2025/03/25/pixelfed-vulnerability.html
Traduction et explication :
Pixelfed est un réseau social de partage de photos, c'est une alternative à Instagram. Ca peut fédérer (communiquer) avec Mastodon.
Si un compte sur une instance Pixelfed suit votre compte sur Mastodon, alors il a accès à tous vos pouets, publics et privés. Jusqu'ici, c'est normal.
La vulnérabilité, c'est que le serveur de Pixelfed qui reçoit vos pouets devrait quand même s'assurer que seuls vos followers peuvent voir vos pouets privés. Mais les serveurs Pixelfed ne font pas ça.
Donc si vous avez *un* follower sur un serveur Pixelfed, *tous les comptes de ce serveur* peuvent voir vos pouets privés.
1/2
@MxHeadmaster j'ai déjà du mal à faire monter ma version d'instance Mastodon (gros soucis que personne n'arrive à gérer)... Si les admins pixelfed se font peur avec une maj ça risque de durer plus que quelques jours.
@Claire quand je passe en 3.4, ça détruit littéralement tout. Plus de tout affiché, plus de compte visible. J'arrive juste à d'authentifier.
Le souci est que j'étais parti d'un helm chart qu'ils ont supprimé (officiel). Je suis, depuis des mois, coincé.
@Claire j'ai un bon système de backups que j'ai construit pour l'instance, ce qui m'a sauvé la vie le mois dernier lors d'une énième tentative de monter version par version.
Toujours est-il que ça me prend un temps conséquent de revenir en arrière.
@metal3d ah, je ne connais pas du tout helm, peut-être que @renchap peut donner un coup de main là-dessus
je peux essayer de donner un coup de main, je connais bien le code de Mastodon lui-même, mais pas du tout helm ou l'historique du helm chart de Mastodon
il n'est également pas nécessaire de passer par toutes les versions intermédiaires, mais des fois ça peut aider (il faut bien lire les notes de version intermédiaires par contre, par fois il y a des étapes un peu manuelles, même si on essaie de les éviter autant que possible !)
@metal3d oof, Mastodon 3.2.0 commence à être très ancien, et n'est plus maintenu depuis un moment !
Quelles difficultés éprouvez-vous à mettre à jour ?