LINUX.ORG.RU

Исправление критических уязвимостей в Synapse, сервере matrix

 , , ,


1

4

6 сентября состоялся релиз Synapse 0.33.3.1, включающий в себя исправление критических уязвимостей.

Synapse — референсная реализация домашнего сервера Matrix.

Matrix — проект по созданию открытого федеративного средства обмена мгновенными сообщениями (IM) и голосовой связи (VoIP).

Исправлены следующие уязвимости:

  • Отсутствовала проверка того, что событие (event) было подписано сервером отправителя. Уязвимость позволяла злонамеренному пользователю взять любую комнату на любом сервере под контроль, так как существовала возможность отправлять события от имени пользователей из списка администраторов комнат.
  • Отсутствовала проверка идентификатора события (event_id). Согласно информации от разработчиков, команда Matrix не смогла полностью оценить значимость этой уязвимости.
  • Для push-уведомлений, списки прав доступа (ACL) сервера основывались на поле «origin» в транзакции, полностью доступному для изменения серверу, отправляющему транзакцию. Это позволяло вредоносному серверу обходить списки прав доступа (ACL).

>>> Подробности

★★★★★

Проверено: riki ()

Где-нибудь есть обзоры что ставить в фирму из этих матриксов, ваеров и прочего? С описанием отдельных возможностей и как это интегрируется в уже существующие системы.

anonymous ()
Ответ на: комментарий от anonymous

Нет. Народ спрашивает по интернетам и т.п. местам о личном опыте, личный опыт у всех разный.

Лично мы у себя развернули матрикс и я собираюсь с него валить, потому что:

а) Очень медленная доставка сообщений. Это блокер.

б) мобильный клиент жрёт батарейку как не в себя и любит показывать сообщения черзе полчаса после того, как их прочитали и отметили как прочитанное. Это второй блокер.

в) Очень неочевидная логика приложения.

г) Интеграция git сделана программистами для программистов. Впрочем, это как раз нормально, кому ещё нужна интеграция с git :-)

д) Догика остановки мобильного приложения слегка неудобноватая Есть завершить, а есть выйти.

е) настольное приложение подвешивает десктоп целиком при выводе уведомления. Это как вообще?

Зато.

а) Можно завести отдельное простарноство со своими каналами и пригласить туда только своих людей.

б) Там есть секретные секретные чаты.

в) Звук по IP работает очень ОК.

Aceler ★★★★★ ()
Ответ на: комментарий от Aceler

Причины нет. Это раз с матрицы начали. Но если не такие, то распределенные вообще не вариант, что глобальные, что локальные. И остаётся только проприеритарщина, которую только в редких случаях можно себе на сервер установить и интегрировать во что хочешь.

boowai ()
Ответ на: комментарий от boowai

И остаётся только проприеритарщина, которую только в редких случаях можно себе на сервер установить и интегрировать во что хочешь.

Есть Wire. Хочешь — плати разработчикам, не хочешь — поднимай сервер сам из исходников, ибо он доступен под AGPLv3.

jollheef ★★★★★ ()
Ответ на: комментарий от boowai

Причины нет. Это раз с матрицы начали. Но если не такие, то распределенные вообще не вариант, что глобальные, что локальные. И остаётся только проприеритарщина, которую только в редких случаях можно себе на сервер установить и интегрировать во что хочешь

У тебя всё в порядке? А свободных не-федеративных, по-твоему, не существует? Кто-то запретил?

Поставь себе rocket.chat, например.

Aceler ★★★★★ ()
Ответ на: комментарий от Aceler

А зачем вообще тащить в корпоративную среду что-то в глубокой (и бесконечной) бете, как Matrix? Сейчас это же чятилка исключительно для энтузиастов со свободным временем и руками, чтобы в будущем оно стало хотя бы немного более-менее хорошим.

commagray ★★★ ()
Ответ на: комментарий от subwoofer

Я бы поостерёгся использовать ПО, где насчёт спецификации ВНЕЗАПНО вспомнили только спустя четыре года и начали судорожно всё описывать, попутно ловя багофичи в дизайне протокола.

commagray ★★★ ()

придумали сущности безопасности и сами же забыли их проверить.

уязвимости уровня «детский сад».

зато сколько реламы я послыхал про этот ваш Matrix — божеш ты мой.

а в итоге всё как обычно

anonymous ()
Ответ на: комментарий от Aceler

е) настольное приложение подвешивает десктоп целиком при выводе уведомления. Это как вообще?

Как говорится, enjoy your говновеб. Настолькное приложение Riot это по сути завернули вебсайт в хромого и выпустили как приложение. Современные тренды, которым следуют все крупные говноде^W игроки рынка - и шкайп, и дискококорд, и шлак, и т.д.

Quasar ★★★★★ ()
Ответ на: комментарий от Aceler

есть что-то ещё приличное

Нет, альтернативных клиентов вообще нет. Только урезанный Mini Vector — форк Riot, откуда вырезали тяжёлые библиотеки, типа Jitsi для групповых звонков.

commagray ★★★ ()
Ответ на: комментарий от Quasar

аналог IRC

Это совсем другая сущность, аналогом чего-то у меня язык не повернётся назвать. Единственное, что связывает Matrix и IRC — то, что они оба шлют и принимают текст. Только Matrix более похож на распределённую базу данных, а не на чятик.

Ждать дофига лет пока допилят - не вариант.

Никто не заставляет чего-то ждать. Я использую его на постоянной основе: пересадил три с половиной знакомых, к другим знакомым хожу через мосты, читаю твитор и RSS с помощью ботов, заглядываю в другие комнаты и сообщества. Всё вполне хорошо и очередное шерето на это практически никак не влияет — бывало и хуже.

commagray ★★★ ()

НИХ-синдром до добра не доводит. Не выпендривайтесь и юзайте джаббер, товарищи. Для удобного и быстрого пуляния сообщениями ничего лучше пока не придумали.

WitcherGeralt ()
Ответ на: комментарий от Aceler

а) Очень медленная доставка сообщений. Это блокер.

Переусложненный handshake в протоколе или просто сервер/клиент кривые и блокируются GIL'ом Python'а? Насколько помню, оно было на питоне написано.

merhalak ★★★★★ ()
Ответ на: комментарий от commagray

Это совсем другая сущность, аналогом чего-то у меня язык не повернётся назвать.

Речь о назначении. И в IRC и в Matrix есть чаты и комнаты. И там и там нет обязательного требования регистрации.

Quasar ★★★★★ ()
Ответ на: комментарий от WitcherGeralt

Jabber сам по себе не позволяет легко и просто сделать многое из того, что закладывают в Matrix. У Jabber преимущество в отлаженности инфраструктуры и привычной адресации - эдакий e-mail реального времени. Поэтому Jabber будет жить независимо от новомодных решений. Но это же не значит, что только на Jabber надо пытаться решать все задачи.

Quasar ★★★★★ ()
Ответ на: комментарий от Quasar

Когда я последний раз пробовал сабж то сервака его не было а был какой то левый прототип написанный на пистоне.

Обещались вроде продактион сервер написать на ГО, сделали ?

mx__ ★★★★ ()
Ответ на: комментарий от mx__

а был какой то левый прототип написанный на пистоне

У тебя немного недостоверная информация: Synapse — это не «левый прототип», а основная — референсная — реализация сервера, как и Riot — основной клиент. Его уже портировали на Python 3, увеличив скорость в несколько раз и на столько же снизив потребление памяти, но осталась бюрократия с принятием всех PR, тестированием и прочим — поэтому его переведут на только в следующих релизах.

написать на ГО, сделали

WIP, но Dendrite можно взять и тестировать уже сейчас. Там очень интересная модульная архитектура, позволяющая разбросать части сервера по отдельным машинам (или можно запустить в монолитном режиме).

Параллельно с ними одним человеком из сообщества пилится сервер на C++ — Construct (https://github.com/matrix-construct/construct). Только автор немного токсичен и его забанили в основных комнатах сообщества Matrix. xD

commagray ★★★ ()
Последнее исправление: commagray (всего исправлений: 1)
Ответ на: комментарий от commagray

Ну может и так.

Но по крайне мере к примеру в мире торентов никто не будет юзать рефересную реализацию торентов на пистоне. Все предпочитают проги написанные более системных языках.

И если считается что РИОТ это основной клиент то - ой. Все гораздо хуже чем я думал :(

mx__ ★★★★ ()
Ответ на: комментарий от O02eg

Пока что нет. Просто это действительно надоедливый персонаж, заспамливающий оскорблениями комнаты с разных аккаунтов. А когда ещё одна истеричка громко кричала о том, что форкнет протокол — они потом это делали вдвоём.

commagray ★★★ ()