Fedify betroffen von Ressourcenerschöpfung aufgrund unbegrenzter Weiterleitungen während der Remote-Key-/Dokumentauflösung

Fedify ist eine TypeScript-Bibliothek zum Erstellen von föderierten Serveranwendungen, die von ActivityPub unterstützt werden. Vor 1.9.6, 1.10.5, 2.0.8 und 2.1.1 folgt @fedify/fedify HTTP-Weiterleitungen rekursiv in seinem Remote-Dokument-Loader und im authentifizierten Dokument-Loader, ohne eine maximale Weiterleitung anzusetzen oder eine Erkennung von besuchten-URL-Schleifen durchzuführen. Ein Angreifer, der eine Remote ActivityPub-Key- oder Actor-URL kontrolliert, kann einen Server, der Fedify verwendet, dazu bringen, wiederholte ausgehende Anfragen von einer einzigen eingehenden Anfrage zu stellen, was zu Ressourcenverbrauch und Denial of Service führt. Diese Schwachstelle ist in 1.9.6, 1.10.5, 2.0.8 und 2.1.1 behoben.