Fedify में रिडायरेक्ट अनुक्रम के कारण संसाधन की कमी से प्रभावित, दूरस्थ कुंजी/दस्तावेज़ समाधान के दौरान असीमित रिडायरेक्ट का अनुसरण किया जा रहा है

Fedify एक TypeScript लाइब्रेरी है जो ActivityPub द्वारा संचालित फेडरेटेड सर्वर ऐप्स बनाने के लिए है। 1.9.6, 1.10.5, 2.0.8, और 2.1.1 से पहले, @fedify/fedify अपने रिमोट डॉक्यूमेंट लोडर और ऑथेंटिकेटेड डॉक्यूमेंट लोडर में HTTP रिडायरेक्ट को पुनरावर्ती रूप से फॉलो करता है, बिना अधिकतम रिडायरेक्ट गणना या विज़िटेड-URL लूप डिटेक्शन लागू किए। एक हमलावर जो एक रिमोट ActivityPub कुंजी या अभिनेता URL को नियंत्रित करता है, वह Fedify का उपयोग करने वाले सर्वर को एक एकल इनबाउंड अनुरोध से बार-बार आउटबाउंड अनुरोध करने के लिए मजबूर कर सकता है, जिससे संसाधन की खपत और सेवा से इनकार हो सकता है। यह भेद्यता 1.9.6, 1.10.5, 2.0.8, और 2.1.1 में ठीक की गई है।