Misskey — это платформа социальных сетей с открытым исходным кодом и возможностью федерации. В затронутых версиях FileServerService (медиап…

Misskey — это платформа социальных сетей с открытым исходным кодом и возможностью федерации. В затронутых версиях FileServerService (медиапрокси) в github.com/misskey-dev/misskey 2024.10.1 или более ранней версии не обнаруживал петли прокси, что позволяет удаленным злоумышленникам выполнять самораспространяющуюся отраженную/усиленную распределенную атаку типа «отказ в обслуживании» с помощью вредоносно созданной заметки. FileServerService.prototype.proxyHandler не проверял, поступают ли входящие запросы от другого прокси-сервера. Злоумышленник может выполнить усиленный отказ в обслуживании, отправив серверу вложенный прокси-запрос и завершив запрос вредоносным перенаправлением обратно к другому вложенному прокси-запросу, что приведет к неограниченной рекурсии до тех пор, пока не истечет время ожидания исходного запроса. Эта проблема была решена в версии 2024.11.0-alpha.3. Пользователям рекомендуется выполнить обновление. Пользователи, не имеющие возможности выполнить обновление, могут настроить обратный прокси-сервер для блокировки запросов к прокси с пустым заголовком User-Agent или заголовком, содержащим Misskey/. Злоумышленник не может эффективно изменить заголовок User-Agent, не сделав еще один запрос к серверу.