Fedifyにおいて、リモートキー/ドキュメント解決中にバウンドレスなリダイレクト追跡が引き起こすリソース枯渇の影響

Fedifyは、ActivityPubを基盤とした分散型サーバーアプリケーションを構築するためのTypeScriptライブラリです。1.9.6、1.10.5、2.0.8、および2.1.1のバージョンより前は、@fedify/fedifyはリモートドキュメントローダーおよび認証済みドキュメントローダー内で、最大リダイレクト数や訪問済みURLループ検出を強制することなく、HTTPリダイレクトを再帰的に追跡します。攻撃者がリモートActivityPubキーまたはアクターURLを制御できる場合、Fedifyを使用しているサーバーは、単一の受信リクエストから繰り返しの外部リクエストを行うように強制され、リソース消費とサービス拒否につながる可能性があります。この脆弱性は1.9.6、1.10.5、2.0.8、および2.1.1で修正されています。