すべてのMisskey forkのメンテナはとっとと修正してなのだわ
v11: https://github.com/mei23/misskey-v11/commit/0d0a465c057837684633e66364e98c7adb8437c6
v12: https://firefish.dev/firefish/firefish/-/commit/e790d6be90dfd5dc6471b650a54520761bb9d745
v13- や 2024.3.1: https://gist.github.com/tesaguri/f3c73f81bc000f669fc8adfab316603b#file-hotfix-ghsa-2vxv-pv3m-3wvj-patch
RE: https://misskey.m544.net/notes/718f2c5155c26c6aff771e38 [参照]
他所でもリリースとか公開されたのでセキュリティアドバイザリを出したのだわ
https://github.com/mei23/misskey/security/advisories/GHSA-f7g9-xhcq-5ww6
@mei23 当時の規格(<https://github.com/w3c-ccg/ld-signatures/blob/d0af56856684924156a94838f9482a27766bb2be/index.html>)としては特に検証者側signature optionsのコンテクストを差し替えるような指示はなかったと思うので、差し替えるとしてもSecurity Vocabularyのコンテクストでも良さそうな気がしますね(そもそも厳密には署名者側から提供されたコンテクストでexpandしてから検証者側が理解するコンテクストでcompactするのが正しい気もしますが)
w3id.org/identity/v1、何故……(?)
https://akkoma.dev/FoundKeyGang/FoundKey/commit/c18a7a8d30fdbc2dee6bfbb02cf1f639ca677bec
リレーと言うかLD Signature検証だわね。まあ英断だわね。
- 潜在的に問題がある可能性がある
- 検証時に特定のサーバーにアクセスする必要があるという分散SNSとしてはダメダメな仕様
- 特定のサーバーが今はもうアクセスできないので検証不可 (MastodonやMisskeyはローカルに持っているのでいちおう出来ているが)
RE: https://p1.a9z.dev/notes/9spej1r08h [参照]
A critical security issue has been fixed in version 20240430
. Please upgrade your Firefish server as soon as possible.
Upgrade guide: https://firefish.dev/firefish/firefish/-/blob/main/docs/upgrade.md
Changelog: https://firefish.dev/firefish/firefish/-/blob/main/docs/changelog.md
PeerTube 6.1 is out!
We're pleased to announce the 6.1 release of #PeerTube 🥳
Integration of account import/export, shorter duration to count a view, 2 important security vulnerabilities fixes, and more!
It's time to upgrade your instances!
Check out: https://joinpeertube.org/news/release-6.1
2024年4月29日から30日にかけてIceshrimpおよびめいすきーで修正されたMisskeyのセキュリティ上の問題を本家においても修正することを目的としたパッチを公開します。公開の経緯およびパッチの詳細については引用元の投稿とそのリンク先のREADMEを参照してください。
QT: https://fedibird.com/@tesaguri/112355977374946818 [参照]
I deeply regret to disclose the patch by myself before the upstream releases a fix, but I'm doing this because the upstream appears so busy that they have not responded to my report for more than 7 days after the submission.
I'm disclosing the patch in the hope that it will help to protect the users of Misskey rather than to risk them, in light of the recent disclosure of the issue by the fork (but make sure to review the disclaimer in the UNLICENSE file).
https://gist.github.com/tesaguri/f3c73f81bc000f669fc8adfab316603b
I'm publishing a hotfix for Misskey v2024.3.1 (78ff90f) aimed at fixing the security issue disclosed by its forks Iceshrimp and Meisskey on 2024-04-29Z. See the README.md file of the Gist for details of the patch.
【卒業】みんなありがとう!【#シマリスらいぶ】 - YouTube
https://www.youtube.com/watch?v=NA2dtqhq1VU
ActivityPub Miscellaneous Terms
https://swicg.github.io/miscellany/
地味に便利そうなJSON-LDコンテクストだ(PURLがきちんと永続的に保守されるなら)
<https://forum.summerofprotocols.com/t/pig-end-to-end-encryption-in-activitypub/440>でActivityPubの説明として"the federated social networking standards supported by Mastodon, Meta Threads, and dozens of other platforms."と書かれているのを見て「そうかそっちの方が通りが良いのか」と思った記憶
この方はただの例です