2024-4-30
same day in other years
이전년
03:42:38
notestock 공개 페이지 링크
icon

gist.github.com/tesaguri/f3c73
I'm publishing a hotfix for Misskey v2024.3.1 (78ff90f) aimed at fixing the security issue disclosed by its forks Iceshrimp and Meisskey on 2024-04-29Z. See the README.md file of the Gist for details of the patch.

Web site image
https://gist.github.com/tesaguri/f3c73 
README.md
03:44:01
notestock 공개 페이지 링크
icon

I deeply regret to disclose the patch by myself before the upstream releases a fix, but I'm doing this because the upstream appears so busy that they have not responded to my report for more than 7 days after the submission.

I'm disclosing the patch in the hope that it will help to protect the users of Misskey rather than to risk them, in light of the recent disclosure of the issue by the fork (but make sure to review the disclaimer in the UNLICENSE file).

03:46:31
notestock 공개 페이지 링크
icon

2024年4月29日から30日にかけてIceshrimpおよびめいすきーで修正されたMisskeyのセキュリティ上の問題を本家においても修正することを目的としたパッチを公開します。公開の経緯およびパッチの詳細については引用元の投稿とそのリンク先のREADMEを参照してください。
QT: fedibird.com/@tesaguri/1123559 [参照]

Web site image
https://fedibird.com/@tesaguri/1123 
tesaguri 🦀🦝 (@tesaguri@fedibird.com)
https://fedibird.com/@tesaguri/1123 
このページは正しくありません - Mastodon
03:47:51
notestock 공개 페이지 링크
icon

日本時間の夜分遅くに申し訳ねえ〜。いや、本当にすみません……

03:55:53
notestock 공개 페이지 링크
2024-04-30 02:08:59 めいめい님의 게시물 mei23@misskey.m544.net
icon

This account is not set to public on notestock.

03:55:57
notestock 공개 페이지 링크
2024-04-30 02:47:17 めいめい님의 게시물 mei23@misskey.m544.net
icon

This account is not set to public on notestock.

05:35:23
notestock 공개 페이지 링크
2024-04-29 17:42:48 PeerTube님의 게시물 peertube@framapiaf.org
icon

This account is not set to public on notestock.

12:51:18
notestock 공개 페이지 링크
2024-04-30 06:49:58 Firefish님의 게시물 firefish@info.firefish.dev
icon

This account is not set to public on notestock.

13:00:55
notestock 공개 페이지 링크
2024-04-30 12:43:56 めいめい님의 게시물 mei23@misskey.m544.net
icon

This account is not set to public on notestock.

13:01:12
notestock 공개 페이지 링크
icon

w3id.org/identity/v1、何故……(?)

13:02:54
notestock 공개 페이지 링크
icon

一応w3id.org/security/v1でも代替可能なはずなのに何故か今も使い回されているコンテクストIRI

14:11:45
notestock 공개 페이지 링크
icon

@mei23 当時の規格(<github.com/w3c-ccg/ld-signatur>)としては特に検証者側signature optionsのコンテクストを差し替えるような指示はなかったと思うので、差し替えるとしてもSecurity Vocabularyのコンテクストでも良さそうな気がしますね(そもそも厳密には署名者側から提供されたコンテクストでexpandしてから検証者側が理解するコンテクストでcompactするのが正しい気もしますが)

Web site image
https://github.com/w3c-ccg/ld-sig 
ld-signatures/index.html at d0af56856684924156a94838f9482a27766bb2be ?? w3c-ccg/ld-signatures
17:04:17
notestock 공개 페이지 링크
2024-04-30 08:13:02 めいめい님의 게시물 mei23@misskey.m544.net
icon

This account is not set to public on notestock.

17:04:29
notestock 공개 페이지 링크
2024-04-30 09:12:52 めいめい님의 게시물 mei23@misskey.m544.net
icon

This account is not set to public on notestock.

17:23:14
notestock 공개 페이지 링크
icon

gist.github.com/tesaguri/f3c73
署名以外の処理もするようになったしもはや`LdSignatureService`という命名は相応しくないやろ〜と改名してしまったけど、冷静に考えると脆弱性の修正にそんなしょうもないリファクタリングを抱き合わせるなという話なのだよな……

Web site image
https://gist.github.com/tesaguri/f3c73 
README.md
17:23:48
notestock 공개 페이지 링크
icon

しかしリファクタリング相当の変更を差し戻してからもう一度QAもどきの作業をやり直す余裕もなかったので、はい

17:27:04
notestock 공개 페이지 링크
icon

QAもどき(変更箇所にテストがないので手動でサーバを動かして破綻していないか確認する。なお情報公開前なので公開でpushして適当にCIでコンテナイメージをビルドさせるわけにもいかない)

17:28:18
notestock 공개 페이지 링크
icon

github.com/MisskeyIO/misskey/c
まあつまり、こっちの方が正しいのだよなあ

Web site image
https://github.com/MisskeyIO/miss 
Hotfix GHSA-2vxv-pv3m-3wvj (MisskeyIO#624) · MisskeyIO/misskey@6b1b7fd
17:32:36
notestock 공개 페이지 링크
icon

怖い話をしても良いですか? いいよー。私、今までTypeScriptは1ミリ行も書いたことがないのですよね……(?)

2024-4-30