⚠️ Message d'utilité publique : il y a une faille de sécurité dans Pixelfed, et ça expose *tout le monde*, y compris les comptes sur Mastodon.
Source en anglais : https://fokus.cool/2025/03/25/pixelfed-vulnerability.html
Traduction et explication :
Pixelfed est un réseau social de partage de photos, c'est une alternative à Instagram. Ca peut fédérer (communiquer) avec Mastodon.
Si un compte sur une instance Pixelfed suit votre compte sur Mastodon, alors il a accès à tous vos pouets, publics et privés. Jusqu'ici, c'est normal.
La vulnérabilité, c'est que le serveur de Pixelfed qui reçoit vos pouets devrait quand même s'assurer que seuls vos followers peuvent voir vos pouets privés. Mais les serveurs Pixelfed ne font pas ça.
Donc si vous avez *un* follower sur un serveur Pixelfed, *tous les comptes de ce serveur* peuvent voir vos pouets privés.
1/2
@MxHeadmaster j'ai déjà du mal à faire monter ma version d'instance Mastodon (gros soucis que personne n'arrive à gérer)... Si les admins pixelfed se font peur avec une maj ça risque de durer plus que quelques jours.
@metal3d oof, Mastodon 3.2.0 commence à être très ancien, et n'est plus maintenu depuis un moment !
Quelles difficultés éprouvez-vous à mettre à jour ?
@metal3d ah, je ne connais pas du tout helm, peut-être que @renchap peut donner un coup de main là-dessus
je peux essayer de donner un coup de main, je connais bien le code de Mastodon lui-même, mais pas du tout helm ou l'historique du helm chart de Mastodon
il n'est également pas nécessaire de passer par toutes les versions intermédiaires, mais des fois ça peut aider (il faut bien lire les notes de version intermédiaires par contre, par fois il y a des étapes un peu manuelles, même si on essaie de les éviter autant que possible !)
@Claire @renchap c'est un des dev de Mastodon qui m'a dit de passer d'abord en 3.4, puis une autre version 3 avant de taper dans les V4. Mas je pense que le helm chart original a un sérieux souci avec les labels. Il faut que je tente d'autres trucs mais c'est difficile de trouver du temps. Pour les sources je m'en sors, c'est vraiment une problématique d'upgrade dont je ne comprends pas l'issue finale.
En tout cas merci pour l'aide et le soutien ! 🙂
@Claire @renchap ce qui pourrait marcher mais c'est risqué c'est de backup tout le bordel, d'installer une V4, de forcer la restauration des données et de prier pour que ça passe... Sauf que je doute du résultat. Le souci c'est que je n'ai jamais pu upgrade il y a des années et que Mastodon a sorti beaucoup de mise à jour par la suite. J'aurais dû faire plus vite, c'est en grande partie de ma faute.
@Claire j'ai un bon système de backups que j'ai construit pour l'instance, ce qui m'a sauvé la vie le mois dernier lors d'une énième tentative de monter version par version.
Toujours est-il que ça me prend un temps conséquent de revenir en arrière.