#보안 — Public Fediverse posts

보안 업데이트: Hollo 0.6.19 릴리스

Fedify의 HTML 파싱 코드에서 발견된 보안 취약점을 수정한 Hollo 0.6.19를 릴리스했습니다.

이 취약점(CVE-2025-68475)은 ReDoS(정규 표현식 서비스 거부) 문제로, 공격자가 연합 작업 중 특수하게 조작된 HTML 응답을 보내 서비스 장애를 유발할 수 있습니다. 악성 페이로드는 작지만(약 170바이트), Node.js 이벤트 루프를 장시간 차단할 수 있습니다.

모든 Hollo 운영자분들께 즉시 버전 0.6.19로 업그레이드하실 것을 강력히 권고드립니다.

#Hollo #보안 #페디버스 #연합우주 #ActivityPub

보안 업데이트: Hollo 0.6.19 릴리스

Fedify의 HTML 파싱 코드에서 발견된 보안 취약점을 수정한 Hollo 0.6.19를 릴리스했습니다.

이 취약점(CVE-2025-68475)은 ReDoS(정규 표현식 서비스 거부) 문제로, 공격자가 연합 작업 중 특수하게 조작된 HTML 응답을 보내 서비스 장애를 유발할 수 있습니다. 악성 페이로드는 작지만(약 170바이트), Node.js 이벤트 루프를 장시간 차단할 수 있습니다.

모든 Hollo 운영자분들께 즉시 버전 0.6.19로 업그레이드하실 것을 강력히 권고드립니다.

#Hollo #보안 #페디버스 #연합우주 #ActivityPub

보안 업데이트: Hollo 0.6.19 릴리스

Fedify의 HTML 파싱 코드에서 발견된 보안 취약점을 수정한 Hollo 0.6.19를 릴리스했습니다.

이 취약점(CVE-2025-68475)은 ReDoS(정규 표현식 서비스 거부) 문제로, 공격자가 연합 작업 중 특수하게 조작된 HTML 응답을 보내 서비스 장애를 유발할 수 있습니다. 악성 페이로드는 작지만(약 170바이트), Node.js 이벤트 루프를 장시간 차단할 수 있습니다.

모든 Hollo 운영자분들께 즉시 버전 0.6.19로 업그레이드하실 것을 강력히 권고드립니다.

#Hollo #보안 #페디버스 #연합우주 #ActivityPub

⚠️ 단종 안내 ⚠️

알려드립니다: Mastodon 4.2.x 버전은 다음 달에 단종됩니다 — 더 이상 업데이트가 제공되지 않습니다!

오래된 Mastodon 버전을 사용 중인 분들은 반드시 최신 4.5.x 버전으로 업그레이드할 것을 강력히 권장합니다. 모험심이 있고, 충분한 지식이 있으며, 약간의 위험을 감수할 준비가 되어 있다면 개발용 4.6 빌드를 시도해 볼 수도 있습니다.

무엇보다도 4.2.x 버전 사용은 가능한 한 빨리 중단하시길 바랍니다. 😉

#보안 #정보보안 #관리자 #Mastodon #Fediverse #ActivityPub #Security #InfoSec #InformationSecurity #FediAdmin

ACON3D 개인정보 사고(일부 회원들의 이메일 주소 노출).

뭔 일인가 하고 봤더니... 이용약관 개정 안내 이메일 보낼 때, 참조 주소에 회원들 이메일을 넣어서 노출시켰다고.

https://acon3d.notion.site/ACON-2abe0c5ba98480e7918ff08756ad3815

#보안 #이메일 #Acon3D

뉴스 다이제스트 : 국정원, KT의 문자 암호화 취약점 확인

국정원 "KT 일부 스마트폰 문자 암호화 풀려"…사이버 위협 경고◎구글, 애플과 흡사한 보안 강화 '프라이빗 AI 컴퓨트' 출시◎“바뀐 카톡에 피로감 90%”… 그래도 대항마 없는 메신저 시장

https://www.just4fun.kr/post/2599

#KT #보안

디지털 #프라이버시 와 #보안 을 선도하는 #ExpressVPN이 FOSS for All Conference 2025에 브론즈 #후원사 로 함께합니다. 🔐 오픈소스 #보안 #VPN 기술에 대해 자세히 알아보세요. 👉 참가 등록: https://event-us.kr/fossforall/event/110400 #FOSSforAll #보안 #개인정보보호 #VPN #OpenSourceSecurity

🧭 리눅스 커널 기여, 어디서부터 시작해야 할까?
히치하이커의 여정으로 본 초보자 컨트리뷰션 가이드

🐧 리눅스 커널 컨트리뷰션 여행기: 히치하이커가 길을 찾는 법
👤 김윤성 (Upstream Linux Kernel Contributor)

세션 https://2025.fossforall.org/sessions/
티켓 https://event-us.kr/fossforall/event/110400

#FOSSforAll #LinuxKernel #오픈소스 #커뮤니티 #보안

새 블로그 글: [ko] #이동통신 #보안 들여다보기 pt1 – 가짜 기지국?

https://blog.quendi.moe/2025/10/11/ko-%ec%9d%b4%eb%8f%99%ed%86%b5%ec%8b%a0-%eb%b3%b4%ec%95%88-%eb%93%a4%ec%97%ac%eb%8b%a4%eb%b3%b4%ea%b8%b0-pt1-%ea%b0%80%ec%a7%9c-%ea%b8%b0%ec%a7%80%ea%b5%ad/

#가짜_기지국

#Hollo 쓰시는 분들은 可能(가능)한 限(한) 빨리 0.6.12 버전으로 올리시기 바랍니다. DM이 公開(공개) 揭示物(게시물) 페이지에서 露出(노출)되는 深刻(심각)한 保安(보안) 脆弱點(취약점)이 패치되었습니다.

https://hollo.social/@hollo/0199aaaf-7979-7da3-9509-73c9e487de05

#보안 #취약점

암호 자산 업계에서 보는 우리나라 금융 보안이 갈 길

https://purengom.com/2025/09/01/%ec%95%94%ed%98%b8-%ec%9e%90%ec%82%b0-%ec%97%85%ea%b3%84%ec%97%90%ec%84%9c-%eb%b3%b4%eb%8a%94-%ec%9a%b0%eb%a6%ac%eb%82%98%eb%9d%bc-%ea%b8%88%ec%9c%b5-%eb%b3%b4%ec%95%88%ec%9d%b4-%ea%b0%88-%ea%b8%b8/

Fedify 프레임워크의 #보안 #취약점을 해결하기 위해 #Hollo 보안 업데이트를 릴리스했습니다 (0.4.12, 0.5.7, 0.6.6). 이번 업데이트는 CVE-2025-54888을 수정하는 최신 Fedify 보안 패치를 포함합니다.

모든 Hollo 인스턴스 관리자분들께서는 가능한 한 빨리 해당 릴리스 브랜치의 최신 버전으로 업데이트하시기를 강력히 권장합니다.

업데이트 방법:

• Railway 사용자: 프로젝트 대시보드에서 Hollo 서비스를 선택하고, deployments의 점 세 개 메뉴를 클릭한 후 “Redeploy”를 선택하세요
• Docker 사용자: docker pull ghcr.io/fedify-dev/hollo:latest로 최신 이미지를 받고 컨테이너를 재시작하세요
• 수동 설치 사용자: git pull로 최신 코드를 받은 후 pnpm install을 실행하고 서비스를 재시작하세요

🚨 보안 업데이트: Hollo 0.6.5 릴리스

CVE-2025-53941 #보안 취약점을 해결하는 #Hollo 0.6.5를 릴리스했습니다. 연합 게시물의 HTML 주입 취약점이 수정되었습니다.

피싱 및 XSS 공격으로부터 인스턴스를 보호하기 위해 즉시 업데이트해 주세요.

업데이트 방법:

• Railway: 배포 탭 → 점 세 개 클릭 → Redeploy
• Docker: docker pull ghcr.io/fedify-dev/hollo:latest 후 재시작
• 수동: git pull origin stable && pnpm install 후 서버 재시작

#업데이트

#UbuCon Korea #CFP 마감이 1주일 정도 남았는데요, 아직 #주제 를 고민 중이신가요?

지난 UbuCon Korea 2023 에는 "회사 #보안 아래에서 우분투 #WSL 사용하기" 주제로 세션이 있었습니다! 확인 해 보세요!
https://www.youtube.com/watch?v=UO5EV4FaatE

발표제안은 https://2025.ubuntu-kr.org/cfp 에서 하실 수 있습니다!

딥시크가 보안을 허술히 해서 사용 로그, 채팅 히스토리, 비밀 키 등등이 있는 데이터베이스가 다 노출이 되고 다 털렸을거라는 늬우스ㅋ

https://appleinsider.com/articles/25/01/30/deepseeks-ai-success-is-overshadowed-by-a-serious-security-breach

#AI #DeepSeek #딥시크 #보안

이와 관련하여, #Hollo 역시 #보안 업데이트가 이뤄졌습니다. 0.3.6 또는 0.4.4 버전으로 바로 업데이트하시기 바랍니다!

https://hollo.social/@fedify/0194848b-3b9e-7da1-b631-c011db2f4c43

#Fedify 프레임워크의 #WebFinger 구현에서 발견된 보안 취약점 CVE-2025-23221을 해결하기 위한 보안 업데이트(1.0.14, 1.1.11, 1.2.11, 1.3.4)를 배포했습니다. 모든 사용자께서는 각자 사용 중인 버전에 해당하는 최신 버전으로 즉시 업데이트하시기를 권장합니다.

취약점 내용

보안 연구자가 Fedify의 lookupWebFinger() 함수에서 다음과 같은 보안 문제점들을 발견했습니다:

• 무한 리다이렉트 루프를 통한 서비스 거부 공격 가능
• 내부 네트워크 주소로의 리다이렉트를 통한 SSRF (서버측 요청 위조) 공격 가능
• 리다이렉트 조작을 통한 의도하지 않은 URL 스킴 접근 가능

수정된 버전

• 1.3.x 시리즈: 1.3.4로 업데이트
• 1.2.x 시리즈: 1.2.11로 업데이트
• 1.1.x 시리즈: 1.1.11로 업데이트
• 1.0.x 시리즈: 1.0.14로 업데이트

변경 사항

이번 보안 업데이트에는 다음과 같은 수정 사항이 포함되어 있습니다:

1. 무한 리다이렉트 루프를 방지하기 위해 최대 리다이렉트 횟수 제한(5회) 도입
2. 원래 요청과 동일한 스킴(HTTP/HTTPS)으로만 리다이렉트 허용하도록 제한
3. SSRF 공격 방지를 위해 내부 네트워크 주소로의 리다이렉트 차단

업데이트 방법

다음 명령어로 최신 보안 버전으로 업데이트하실 수 있습니다:

# npm 사용자의 경우
npm update @fedify/fedify

# Deno 사용자의 경우
deno add jsr:@fedify/fedify

이 취약점을 책임감 있게 보고해 주신 보안 연구자께 감사드립니다. 덕분에 신속하게 문제를 해결할 수 있었습니다.

이 취약점에 대한 자세한 내용은 보안 권고문을 참고해 주시기 바랍니다.

문의 사항이나 우려 사항이 있으시다면 GitHub Discussions나 Matrix 채팅방, 또는 Discord 서버를 통해 언제든 연락해 주시기 바랍니다.

#보안 #보안패치 #취약점 #SSRF

네이버 등 한국 서비스들은 언제까지 비밀번호 16자 제한을 고수할런지 (인터파크는 12자였나? 보안 의지가 없음)

#보안 #네이버 #비밀번호

> KT를 사용하지 않더라도 위험하다

https://news.hada.io/topic?id=15651

#KT #해킹 #보안

GroMetric에서는 지난 #UbuConAsia 2022에 이어 올해도 #UbuConKR 후원사로 참여해주셨습니다!

그로메트릭은 다양한 #오픈소스 소프트웨어, #클라우드 #보안 솔루션으로 고객의 지속가능한 성장을 위한 인텔리전스와 안전함을 제공합니다. 중장기적인 관점에서 데이터 메트릭을 통한 고객의 성장을 돕는 솔루션 개발을 목표합니다.

https://2023.ubuntu-kr.org/ko/sponsors/grometric

#우분투 #WSL 자주 활용 하시나요? 보통 많은 분들이 회사 업무에 잘 활용 하시겠지만, 회사 #보안 정책에 따라 사용에 제약이 있는 경우도 자주 있습니다. 강력한 사내 보안 정책으로 인해 특정 프로그램 설치나 웹사이트 접속에 제약이 있는 환경에서는 WSL 을 어떻게 설치해서 사용해야 할까요? #UbuConKR 이병규님의 강연을 통해 사내 보안 정책을 준수 하면서도 우분투 WSL을 설치하고 각종 개발이나 연구, 운영 업무 등에 잘 활용할 수 있었는지 알아보세요.

세션 정보 https://events.canonical.com/event/32/contributions/170/
참가 등록 https://2023.ubuntu-kr.org/tickets/

[온라인 쇼핑몰 결제 페이지 피싱 통한 카드정보 유출 ‘비상’]

현대카드가 일부 회원들에게 카드정보 유출 관련 안내 메일을 발송. 유출이 확인된 정보는 카드번호, 유효기간, CVC, 비밀번호 2자리. 카드 재발급이 필요한 수준. 특정 온라인 쇼핑몰에 피싱 결제 페이지를 삽입해 이루어진 것을 추정.

기사를 보면 현대카드만이 아니라 다른 카드들도 유출이 있는 것으로 보임.

#IT #보안 #현대카드

https://www.boannews.com/media/view.asp?idx=115562

[온라인 쇼핑몰 결제 페이지 피싱 통한 카드정보 유출 ‘비상’]

현대카드가 일부 회원들에게 카드정보 유출 관련 안내 메일을 발송. 유출이 확인된 정보는 카드번호, 유효기간, CVC, 비밀번호 2자리. 카드 재발급이 필요한 수준. 특정 온라인 쇼핑몰에 피싱 결제 페이지를 삽입해 이루어진 것을 추정.

기사를 보면 현대카드만이 아니라 다른 카드들도 유출이 있는 것으로 보임.

#IT #보안 #현대카드

https://www.boannews.com/media/view.asp?idx=115562

[온라인 쇼핑몰 결제 페이지 피싱 통한 카드정보 유출 ‘비상’]

현대카드가 일부 회원들에게 카드정보 유출 관련 안내 메일을 발송. 유출이 확인된 정보는 카드번호, 유효기간, CVC, 비밀번호 2자리. 카드 재발급이 필요한 수준. 특정 온라인 쇼핑몰에 피싱 결제 페이지를 삽입해 이루어진 것을 추정.

기사를 보면 현대카드만이 아니라 다른 카드들도 유출이 있는 것으로 보임.

#IT #보안 #현대카드

https://www.boannews.com/media/view.asp?idx=115562

[온라인 쇼핑몰 결제 페이지 피싱 통한 카드정보 유출 ‘비상’]

현대카드가 일부 회원들에게 카드정보 유출 관련 안내 메일을 발송. 유출이 확인된 정보는 카드번호, 유효기간, CVC, 비밀번호 2자리. 카드 재발급이 필요한 수준. 특정 온라인 쇼핑몰에 피싱 결제 페이지를 삽입해 이루어진 것을 추정.

기사를 보면 현대카드만이 아니라 다른 카드들도 유출이 있는 것으로 보임.

#IT #보안 #현대카드

https://www.boannews.com/media/view.asp?idx=115562

2FA를 사용하세요 + SMS를 이용한 2FA는 보안상 좋지 않아 가능하면 sms 인증은 비활성 하시는걸 추천합니다. 제가 추천하는 옵션은 보안키(Yubikey)를 이용한 2FA입니다.
#2FA를생활화합시다 #보안 #2FA

https://twitter.com/namdo8303/status/1622691479943790592