Fedify: an ActivityPub server framework<p><a class="mention hashtag" rel="nofollow noopener noreferrer" href="https://hollo.social/tags/Fedify" target="_blank">#<span>Fedify</span></a> 프레임워크의 <a class="mention hashtag" rel="nofollow noopener noreferrer" href="https://hollo.social/tags/WebFinger" target="_blank">#<span>WebFinger</span></a> 구현에서 발견된 보안 취약점 <a href="https://github.com/dahlia/fedify/security/advisories/GHSA-c59p-wq67-24wx" rel="nofollow noopener noreferrer" target="_blank">CVE-2025-23221</a>을 해결하기 위한 보안 업데이트(<a href="https://github.com/dahlia/fedify/releases/tag/1.0.14" rel="nofollow noopener noreferrer" target="_blank">1.0.14</a>, <a href="https://github.com/dahlia/fedify/releases/tag/1.1.11" rel="nofollow noopener noreferrer" target="_blank">1.1.11</a>, <a href="https://github.com/dahlia/fedify/releases/tag/1.2.11" rel="nofollow noopener noreferrer" target="_blank">1.2.11</a>, <a href="https://github.com/dahlia/fedify/releases/tag/1.3.4" rel="nofollow noopener noreferrer" target="_blank">1.3.4</a>)를 배포했습니다. 모든 사용자께서는 각자 사용 중인 버전에 해당하는 최신 버전으로 즉시 업데이트하시기를 권장합니다.</p>
<p><strong>취약점 내용</strong></p>
<p>보안 연구자가 Fedify의 <code>lookupWebFinger()</code> 함수에서 다음과 같은 보안 문제점들을 발견했습니다:</p>
<ul>
<li>무한 리다이렉트 루프를 통한 서비스 거부 공격 가능</li>
<li>내부 네트워크 주소로의 리다이렉트를 통한 SSRF (서버측 요청 위조) 공격 가능</li>
<li>리다이렉트 조작을 통한 의도하지 않은 URL 스킴 접근 가능</li>
</ul>
<p><strong>수정된 버전</strong></p>
<ul>
<li>1.3.x 시리즈: <a href="https://github.com/dahlia/fedify/releases/tag/1.3.4" rel="nofollow noopener noreferrer" target="_blank">1.3.4</a>로 업데이트</li>
<li>1.2.x 시리즈: <a href="https://github.com/dahlia/fedify/releases/tag/1.2.11" rel="nofollow noopener noreferrer" target="_blank">1.2.11</a>로 업데이트</li>
<li>1.1.x 시리즈: <a href="https://github.com/dahlia/fedify/releases/tag/1.1.11" rel="nofollow noopener noreferrer" target="_blank">1.1.11</a>로 업데이트</li>
<li>1.0.x 시리즈: <a href="https://github.com/dahlia/fedify/releases/tag/1.0.14" rel="nofollow noopener noreferrer" target="_blank">1.0.14</a>로 업데이트</li>
</ul>
<p><strong>변경 사항</strong></p>
<p>이번 보안 업데이트에는 다음과 같은 수정 사항이 포함되어 있습니다:</p>
<ol>
<li>무한 리다이렉트 루프를 방지하기 위해 최대 리다이렉트 횟수 제한(5회) 도입</li>
<li>원래 요청과 동일한 스킴(HTTP/HTTPS)으로만 리다이렉트 허용하도록 제한</li>
<li>SSRF 공격 방지를 위해 내부 네트워크 주소로의 리다이렉트 차단</li>
</ol>
<p><strong>업데이트 방법</strong></p>
<p>다음 명령어로 최신 보안 버전으로 업데이트하실 수 있습니다:</p>
<pre><code># npm 사용자의 경우
npm update @fedify/fedify
# Deno 사용자의 경우
deno add jsr:@fedify/fedify
</code></pre>
<p>이 취약점을 책임감 있게 보고해 주신 보안 연구자께 감사드립니다. 덕분에 신속하게 문제를 해결할 수 있었습니다.</p>
<p>이 취약점에 대한 자세한 내용은 <a href="https://github.com/dahlia/fedify/security/advisories/GHSA-c59p-wq67-24wx" rel="nofollow noopener noreferrer" target="_blank">보안 권고문</a>을 참고해 주시기 바랍니다.</p>
<p>문의 사항이나 우려 사항이 있으시다면 <a href="https://github.com/dahlia/fedify/discussions" rel="nofollow noopener noreferrer" target="_blank">GitHub Discussions</a>나 <a href="https://matrix.to/#/#fedify:matrix.org" rel="nofollow noopener noreferrer" target="_blank">Matrix 채팅방</a>, 또는 <a href="https://discord.gg/bhtwpzURwd" rel="nofollow noopener noreferrer" target="_blank">Discord 서버</a>를 통해 언제든 연락해 주시기 바랍니다.</p>
<p><a class="mention hashtag" rel="nofollow noopener noreferrer" href="https://hollo.social/tags/%EB%B3%B4%EC%95%88" target="_blank">#<span>보안</span></a> <a class="mention hashtag" rel="nofollow noopener noreferrer" href="https://hollo.social/tags/%EB%B3%B4%EC%95%88%ED%8C%A8%EC%B9%98" target="_blank">#<span>보안패치</span></a> <a class="mention hashtag" rel="nofollow noopener noreferrer" href="https://hollo.social/tags/%EC%B7%A8%EC%95%BD%EC%A0%90" target="_blank">#<span>취약점</span></a> <a class="mention hashtag" rel="nofollow noopener noreferrer" href="https://hollo.social/tags/SSRF" target="_blank">#<span>SSRF</span></a></p>
Recent searches
Search options
Administered by:
#취약점
0 posts0 participants0 posts today