Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

この件に関連して、Holloもセキュリティアップデートをリリースしました。0.3.6または0.4.4バージョンに今すぐアップデートしてください!

https://hollo.social/@fedify/0194848e-7cac-7af3-941b-c93999a51274

hollo.social

FedifyのWebFinger実装における脆弱性[CVE-…

FedifyのWebFinger実装における脆弱性[CVE-2025-23221]に対するセキュリティアップデート([1.0.14]、[1.1.11]、[1.2.11]、[1.3.4])をリリースいたしました。すべてのユーザー様におかれましては、お使いのバージョンに応じた最新版への速やかなアップデートを推奨いたします。 [1.0.14]: https://github.com/dahlia/fedify/releases/tag/1.0.14 [1.1.11]: https://github.com/dahlia/fedify/releases/tag/1.1.11 [1.2.11]: https://github.com/dahlia/fedify/releases/tag/1.2.11 [1.3.4]: https://github.com/dahlia/fedify/releases/tag/1.3.4 [CVE-2025-23221]: https://github.com/dahlia/fedify/security/advisories/GHSA-c59p-wq67-24wx ## 脆弱性の詳細 セキュリティ研究者により、Fedifyの`lookupWebFinger()`関数において以下のセキュリティ上の問題が発見されました: - 無限リダイレクトループによるサービス拒否攻撃(DoS)の可能性 - プライベートネットワークアドレスへのリダイレクトを利用したSSRF(サーバーサイドリクエストフォージェリ)攻撃の可能性 - リダイレクト操作による意図しないURLスキームへのアクセスの可能性 ## 修正されたバージョン - 1.3.xシリーズ:[1.3.4]へアップデート - 1.2.xシリーズ:[1.2.11]へアップデート - 1.1.xシリーズ:[1.1.11]へアップデート - 1.0.xシリーズ:[1.0.14]へアップデート ## 変更内容 本セキュリティアップデートでは、以下の修正が実施されました: 1. 無限リダイレクトループを防ぐため、最大リダイレクト回数(5回)の制限を導入 2. 元のリクエストと同じスキーム(HTTP/HTTPS)のみにリダイレクトを制限 3. SSRFを防止するため、プライベートネットワークアドレスへのリダイレクトをブロック ## アップデート方法 以下のコマンドで最新のセキュアバージョンにアップデートできます: ```sh # npmユーザーの場合 npm update @fedify/fedify # Denoユーザーの場合 deno add jsr:@fedify/fedify ``` この脆弱性を責任を持って報告していただいたセキュリティ研究者の方に感謝申し上げます。迅速な対応が可能となりました。 本脆弱性の詳細については、[セキュリティ勧告][CVE-2025-23221]をご参照ください。 --- ご質問やご懸念がございましたら、[GitHub Discussions](https://github.com/dahlia/fedify/discussions)、[Matrixチャットスペース](https://matrix.to/#/#fedify:matrix.org)、または[Discordサーバー](https://discord.gg/bhtwpzURwd)までお気軽にご連絡ください。 #Fedify #WebFinger #セキュリティ #脆弱性 #DoS #SSRF

Fedify: ActivityPub server framework
@fedify@hollo.social · Reply to Fedify: ActivityPub server framework

FedifyのWebFinger実装における脆弱性CVE-2025-23221に対するセキュリティアップデート(1.0.141.1.111.2.111.3.4)をリリースいたしました。すべてのユーザー様におかれましては、お使いのバージョンに応じた最新版への速やかなアップデートを推奨いたします。

脆弱性の詳細

セキュリティ研究者により、FedifyのlookupWebFinger()関数において以下のセキュリティ上の問題が発見されました:

  • 無限リダイレクトループによるサービス拒否攻撃(DoS)の可能性
  • プライベートネットワークアドレスへのリダイレクトを利用したSSRF(サーバーサイドリクエストフォージェリ)攻撃の可能性
  • リダイレクト操作による意図しないURLスキームへのアクセスの可能性

修正されたバージョン

  • 1.3.xシリーズ:1.3.4へアップデート
  • 1.2.xシリーズ:1.2.11へアップデート
  • 1.1.xシリーズ:1.1.11へアップデート
  • 1.0.xシリーズ:1.0.14へアップデート

変更内容

本セキュリティアップデートでは、以下の修正が実施されました:

  1. 無限リダイレクトループを防ぐため、最大リダイレクト回数(5回)の制限を導入
  2. 元のリクエストと同じスキーム(HTTP/HTTPS)のみにリダイレクトを制限
  3. SSRFを防止するため、プライベートネットワークアドレスへのリダイレクトをブロック

アップデート方法

以下のコマンドで最新のセキュアバージョンにアップデートできます:

# npmユーザーの場合
npm update @fedify/fedify

# Denoユーザーの場合
deno add jsr:@fedify/fedify

この脆弱性を責任を持って報告していただいたセキュリティ研究者の方に感謝申し上げます。迅速な対応が可能となりました。

本脆弱性の詳細については、セキュリティ勧告をご参照ください。

ご質問やご懸念がございましたら、GitHub DiscussionsMatrixチャットスペース、またはDiscordサーバーまでお気軽にご連絡ください。

discord.com

Join the Fedify/Hollo Discord Server!

Check out the Fedify/Hollo community on Discord - hang out with 84 other members and enjoy free voice and text chat.