LINUX.ORG.RU
НовостиБезопасность

Исправление критических уязвимостей в Synapse, сервере matrix

 , , ,


2

4

6 сентября состоялся релиз Synapse 0.33.3.1, включающий в себя исправление критических уязвимостей.

Synapse — референсная реализация домашнего сервера Matrix.

Matrix — проект по созданию открытого федеративного средства обмена мгновенными сообщениями (IM) и голосовой связи (VoIP).

Исправлены следующие уязвимости:

  • Отсутствовала проверка того, что событие (event) было подписано сервером отправителя. Уязвимость позволяла злонамеренному пользователю взять любую комнату на любом сервере под контроль, так как существовала возможность отправлять события от имени пользователей из списка администраторов комнат.
  • Отсутствовала проверка идентификатора события (event_id). Согласно информации от разработчиков, команда Matrix не смогла полностью оценить значимость этой уязвимости.
  • Для push-уведомлений, списки прав доступа (ACL) сервера основывались на поле «origin» в транзакции, полностью доступному для изменения серверу, отправляющему транзакцию. Это позволяло вредоносному серверу обходить списки прав доступа (ACL).

>>> Подробности

Deleted

Проверено: riki ()
Последнее исправление: Deleted (всего исправлений: 3)

1 2
Ответ на: комментарий от hateyoufeel

А он поднимается уже?

Не пробовал.

Разработка ведется на GitHub, судя по коммитам, поэтому вероятно проблем не должно быть — исходники полные.

Deleted
()
Ответ на: комментарий от anonymous

В фирму выбор, в общем-то, не такой уж и большой: Mattermost, RocketChat, Zulip или, по классике, Jabber-сервер по вкусу. Если не смущают сообщения у чужого дяди на сервере и за деньги либо с ограниченной историей, то миллионы мух можно найти в Slack. Не менее небесплатный HipChat после покупки тем же слаком можно смело закопать и забыть. Остальное либо слишком маргинальное, либо не для фирм. (Интереснее, увы, ничего не расскажу: меня хватило только на ленивое потыкивание Zulip палочкой, и я до сих пор держу ejabberd.)

thriller ★★
()
Ответ на: комментарий от Deleted

Переусложненный handshake в протоколе

Не совсем, но ближе к этому. В клиент-серверной части протокола нет легковесных вызовов, которые были бы для этого пригодны. Сначала ты должен выкачать полное состояние комнаты, только потом сообщения (но только большими кусками вместе с историей).

сервер/клиент кривые и блокируются GIL'ом Python'а? Насколько помню, оно было на питоне написано.

Только сервер. Сервер тоже тормоз, но здесь дело не в нём (или не столько в нём).

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 4)

Кот бы жор памяти исправил.

anonymous
()
Ответ на: комментарий от anonymous

Из существенных проблем меня только одна напрягает: мобильный клиент любит опаздывать с уведомлениями, пропуская voip-звонки. Есть настройки фоновой синхронизации, но их надо отлаживать.

А если требуется e2e-шифрование без плясок, то нормальных альтернатив нет.

shahid ★★★★★
()
Ответ на: комментарий от Deleted

Сервер до сих пор завязан на сервисы Амазона. А в клиенте нельзя адрес сервера прописать. Так что такое.

hateyoufeel ★★★★★
()
Ответ на: комментарий от commagray

но осталась бюрократия с принятием всех PR

https://matrix.org/blog/2018/09/15/this-week-in-matrix-2018-09-14/
Meanwhile, Python 3 support for monolithic (non-worker) Synapses has finally landed on the develop branch, thanks to massive work from hawkowl and notafile – if you want to help us test and flush out any remaining byte/utf8 style errors, please create a virtualenv for python 3.6 or 3.5 (twisted doesn’t support 3.7 yet) and point the develop branch of Synapse at it, tail the logs for ERRORs and report them via Github if/when you see them. In practice it seems pretty stable though, and noticeably reduces RAM and speeds things up thanks to improved GC and general performance work in Python.

commagray ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Безопасность