Hollo 
@[email protected] · Reply to Hollo :hollo:'s post
이와 관련하여, #Hollo 역시 #보안 업데이트가 이뤄졌습니다. 0.3.6 또는 0.4.4 버전으로 바로 업데이트하시기 바랍니다!
https://hollo.social/@fedify/0194848b-3b9e-7da1-b631-c011db2f4c43
Fedify: an ActivityPub server framework
@[email protected] · Reply to Fedify: an ActivityPub server framework's post
#Fedify 프레임워크의 #WebFinger 구현에서 발견된 보안 취약점 CVE-2025-23221을 해결하기 위한 보안 업데이트(1.0.14, 1.1.11, 1.2.11, 1.3.4)를 배포했습니다. 모든 사용자께서는 각자 사용 중인 버전에 해당하는 최신 버전으로 즉시 업데이트하시기를 권장합니다.
취약점 내용
보안 연구자가 Fedify의 lookupWebFinger() 함수에서 다음과 같은 보안 문제점들을 발견했습니다:
- 무한 리다이렉트 루프를 통한 서비스 거부 공격 가능
- 내부 네트워크 주소로의 리다이렉트를 통한 SSRF (서버측 요청 위조) 공격 가능
- 리다이렉트 조작을 통한 의도하지 않은 URL 스킴 접근 가능
수정된 버전
변경 사항
이번 보안 업데이트에는 다음과 같은 수정 사항이 포함되어 있습니다:
- 무한 리다이렉트 루프를 방지하기 위해 최대 리다이렉트 횟수 제한(5회) 도입
- 원래 요청과 동일한 스킴(HTTP/HTTPS)으로만 리다이렉트 허용하도록 제한
- SSRF 공격 방지를 위해 내부 네트워크 주소로의 리다이렉트 차단
업데이트 방법
다음 명령어로 최신 보안 버전으로 업데이트하실 수 있습니다:
# npm 사용자의 경우
npm update @fedify/fedify
# Deno 사용자의 경우
deno add jsr:@fedify/fedify
이 취약점을 책임감 있게 보고해 주신 보안 연구자께 감사드립니다. 덕분에 신속하게 문제를 해결할 수 있었습니다.
이 취약점에 대한 자세한 내용은 보안 권고문을 참고해 주시기 바랍니다.
문의 사항이나 우려 사항이 있으시다면 GitHub Discussions나 Matrix 채팅방, 또는 Discord 서버를 통해 언제든 연락해 주시기 바랍니다.