Wie viele von euch sicherlich mitbekommen haben macht gerade ein Heise Online Artikel über Sicherheitslücken in Mastodon die Runden. In diesem Artikel wird erwähnt, dass Mastodon Server der folgenden Versionen von diesen Sicherheitslücken betroffen sind:
3.5.16 und älter,
4.0.12 und älter,
4.1.12 und älter,
4.2.4 und älter.
troet.cafe und muenchen.social sind auf der Version 4.1.9, was bei „4.1.12 und älter” mitgemeint ist.
Zudem ist die genaue Sicherheitslücke bisher noch geheim — die Chance, dass etwas passiert ist also gering.
Nun hatten Martin und Ich uns eigentlich mehr Zeit erhofft um Updates ohne Fehler sowie die Zugänge zu den Servern DSGVO-Konform umzusetzen. Letzte und diese Woche haben treffen stattgefunden um die Logs zu analysieren, es wurden Erklärungen geschrieben damit nachvollzogen werden konnte wie diese Logs eigentlich zu stande gekommen sind und viele Erkenntnisse über mögliche Lösungsansätze gewonnen. Eine Übergabe von Serverzugriffen habe Ich bisher jedoch abgelehnt da Ich uns nicht aufdringen und Martin die Kontrolle entnehmen wollte, sowie sicherstellen wollte, dass jede Person von troet.cafe und muenchen.social erstmal weiß was passiert, mich kennt und von uns gehört hat. Eine zwar nicht Übernahme aber schon große Abgabe von Kontrolle scheint mir andernfalls sehr intransparent, ihr sollt ja wissen wer Ich bin, was passiert, und lange genug Zeit haben um ggf. ein Problem mit dieser Entwicklung zu haben.
Naja, nun gibt es eine Sicherheitslücke und das heißt ganz und gar nicht das Grundsätze der Transparenz über Bord geworfen werden sollten, eher im Gegenteil (deshalb, dieser Beitrag), jedoch das wir für den Moment zusammenkommen müssen um den Plan kurzfristig zu ändern um diese Sicherheitslücke zu schließen.
Was heißt das konkret?
Die Update-Versuche welche bei troet.cafe und muenchen.social in den letzten Monaten versucht wurden bezogen sich immer auf ein Update auf eine viel höhere Version von Mastodon (>4.2.x), da kann auch mehr schiefgehen. Die Versionen der beiden Instanzen sind momentan 4.1.9, und jede Version unter 4.1.12 ist, wie oben benannt, betroffen. Es gibt zum schließen dieser Sicherheitslücke jedoch seit kürzester Zeit auch die Version 4.1.13, was von unserer Version 4.1.9 ggf. leichter zu erreichen, und ohne Fehler zu Updaten ist. Dies würde zwar den eigentlichen Plan durcheinanderbringen, ggf. die über die letzten Wochen geteilten und analysierten Logs sowie deren Auswertung sinnlos machen, dafür aber das akute Problem lösen, also die User von troet.cafe und muenchen.social schützen. Das liegt uns selbstverständlich am meisten am Herzen und wird so schnell es geht umgesetzt — da es den Plan etwas durcheinanderwürfelt sowie durch mein Ablehnen der Zugänge zu den Servern die gesamte Abhängigkeit wieder an Martin allein liegt, bitten wir um Verständnis, dass das ganze nicht so schnell stattfindet wie es stattfinden sollte.
Der Plan unserer Gruppierung, die gesamte Idee warum Martin und Ich zusammenarbeiten sowie das Team Troet.Cafe existiert, ist damit so etwas nie wieder geschieht. So eine Abhängigkeit von einer einzelnen Person sowie der damit einhergehende Druck nicht mehr existiert und Probleme schneller, professioneller, transparenter und vertrauenswürdiger gelöst sowie angegangen werden. Dieser Prozess braucht Zeit, Vertrauen, Einarbeitung, etc. Alles Dinge die wir leider jetzt nicht haben!
Nachdem die Sicherheitslücke geschlossen ist geht dieser Prozess jedoch weiter um den eigentlichen Plan, also das Durchführen der größeren und problematischeren Updates, sowie das langfristigere bessere Moderieren und Instandhalten von troet.cafe sowie muenchen.social, umzusetzen.
Ich freue mich aufrichtig auf diese Zeit und wünsche allen Mastodon Usern ein Überstehen dieser unsicheren Phase. 👋
mc