Impact
- 非収載投稿をMisskeyに鍵付きで配送する設定をおこなう
- そのアカウントをフォローしていないMisskeyサーバーから非収載投稿を照会する
上記操作により、Misskeyでは鍵付き投稿として取得されることが期待されるが、現状は非収載投稿として取得できてしまう
本来検索されたくなくてわざわざリスクをおかしてまで隠す設定をした投稿を、Misskeyから自由に検索できるようになるリスクがある
※CVSSにおいてConfidentialityはNoneとする。これはそもそもMisskeyで非収載投稿が自由に検索できる仕様がMastodonと相容れない件は分散型SNSの弱点であることに由来する
Patches
9.1、5.10 LTS
Workarounds
投稿のActivityを取得するAPIにおいて、取得者が認証されている場合はソフトウェア名を確認して使うSerializerを決める
(ただし相手が認証しないまま取得してきた場合はどうしようもない)
References
対象:/app/controllers/statuses_controller.rb
Impact
上記操作により、Misskeyでは鍵付き投稿として取得されることが期待されるが、現状は非収載投稿として取得できてしまう
本来検索されたくなくてわざわざリスクをおかしてまで隠す設定をした投稿を、Misskeyから自由に検索できるようになるリスクがある
※CVSSにおいてConfidentialityはNoneとする。これはそもそもMisskeyで非収載投稿が自由に検索できる仕様がMastodonと相容れない件は分散型SNSの弱点であることに由来する
Patches
9.1、5.10 LTS
Workarounds
投稿のActivityを取得するAPIにおいて、取得者が認証されている場合はソフトウェア名を確認して使うSerializerを決める
(ただし相手が認証しないまま取得してきた場合はどうしようもない)
References
対象:
/app/controllers/statuses_controller.rb