Lack of media type verification of Activity Streams objects allows impersonation and takeover of remote accounts · Advisory · misskey-dev/misskey · GitHub
https://github.com/misskey-dev/misskey/security/advisories/GHSA-qqrm-9grj-6v32
これを報告するなどしていた
Lack of media type verification of Activity Streams objects allows impersonation and takeover of remote accounts · Advisory · misskey-dev/misskey · GitHub
https://github.com/misskey-dev/misskey/security/advisories/GHSA-qqrm-9grj-6v32
これを報告するなどしていた
このアカウントは、notestockで公開設定になっていません。
Lack of media type verification of Activity Streams objects allows impersonation of remote accounts · Advisory · mastodon/mastodon · GitHub
https://github.com/mastodon/mastodon/security/advisories/GHSA-jhrq-qvrm-qr36
これを報告するなどしていた
We've released one more security patch earlier today, for the versions 4.1, 4.2, and nightly.
If you are using nightly, you can upgrade to the 4.3.0-nightly.2024-02-17-security tag to get the patches.
Please upgrade as soon as possible!
これで取りあえず一段落は付いたので、ようやく枕を高くして眠れる〜。いや、お前普通に熟睡決め込んでいただろ。すみません(?)
まあ、私は重箱の隅をつつき回していただけなのでまだ気楽なものだった。それより各位はお疲れ様でしたという気持ちですね。いや、まだ各サーバによるデプロイ作業があるわけだけど……
「スパム対策」としてリモートからのアクティビティを暗黙かつ無差別に捨てるの、まっとうな利用者の混乱を招くだけでスパマーは普通にその対策を把握した上で行動を続けるだけなのではという気持ち
あと、`Delete`アクティビティはきちんと処理しているのだろうか(コードは未読)
別のサーバに引っ越したフォロイーの新アカウントに対して何故かフォローが移行されていなかった
Misskey v2024.2.0がリリースされました。脆弱性修正も含まれておりますので、直ちにアップデートをお願いします。
まあ、一方的なフィードとしての価値くらいはあるだろうか。Social networkとしてどうなのかは知らないけど
