LINUX.ORG.RU

Множественные уязвимости реализации E2E шифрования в некоторых клиентах Matrix

 ,


0

1

Обнародованы уязвимости CVE-2021-40823 и CVE-2021-40824 в клиентах Matrix, позволяющие раскрыть ключи сквозного шифрования. Уязвимости были найдены в ходе аудита безопасности клиента Element.

Уязвимости вызваны логическим ошибками в реализациях механизма предоставления повторного доступа к ключам, предложенных в matrix-js-sdk < 12.4.1 (CVE-2021-40823), matrix-android-sdk2 < 1.2.2 (CVE-2021-40824), matrix-rust-sdk < 0.4.0, FamedlySDK < 0.5.0 и Nheko ≤ 0.8.2. При определенных обстоятельствах можно заставить уязвимых клиентов раскрыть ключи шифрования сообщений, ранее отправленных этим клиентом собеседникам, учётные записи которых впоследствии взломали.

Использование этой уязвимости для чтения зашифрованных сообщений требует получения контроля над учетной записью получателя. Для этого необходимо либо напрямую скомпрометировать учетные данные пользователя, либо скомпрометировать его домашний сервер.

Таким образом, наибольшему риску подвергаются пользователи, находящиеся в зашифрованных комнатах, содержащих вредоносные серверы. Администраторы вредоносных серверов могут попытаться выдать себя за устройства своих пользователей, чтобы шпионить за сообщениями, отправляемыми уязвимыми клиентами в этой комнате.

Это не уязвимость в протоколах Matrix или Olm/Megolm, а также не в реализации libolm. Это ошибка реализации в некоторых клиентах Matrix и SDK, поддерживающих сквозное шифрование.

Исправленные версии уже доступны, рекомендуется немедленное обновление.

>>> Подробности

★★★★★

Проверено: xaizek ()

Ответ на: комментарий от cocucka

Хмпп просто цуко работает. Все остальное, что создано руками одного человека, всегда ломается руками другого и/или группой лиц.

А с боку или в припрыжку - вопрос второстепенный.

Ну а про пгайваси, с учетом истории развития прожекта, наивно было на нее в принципе надеяться. Таки да.

anonymous ()
Ответ на: комментарий от cocucka

Ну и таки основной вопгос. Если, как ты говогишь, эти ваши говноджабберы древние с омемами никто не аудировал, как же тогда обьяснить, щито чуть больше чем все ключевые ведомства по миру используют внезапно джаббер, а не ванильные какие-то матриксы?

anonymous ()
Ответ на: Re: Рекомендуется немедленное обновление от anonymous

Re: Рекомендуется немедленное обновление

Почему когда появляются «неудобные» для определенного круга лиц вопросы, всегда возникает вопрос что-то куда-то переносить, делегировать итд. Мы тут не там. Мы сидим обсуждаем конкретный проект. Его конкретные проблемы. В рамках конкретного топега. Чо ни таг та?

anonymous ()
Ответ на: комментарий от anonymous

В чем Ви таки видите обобщение?

В том, что не уточняется, регистрант с какими именно понями на аве чего-то там впаривал. В итоге тень падает вообще на всех регистрантов с понями на аве. А это возмутительно!

Vier_E ★★★ ()
Ответ на: комментарий от Vier_E

Ну звиняй, я за три года ник его не помню. Помню аву расписную на аве. И топку за матрикс и мастодон всегда, везде и для всего!

Вот я, чтобы не быть закорузлым старпером, протестил в длительном режиме. Дождался новости о сабже. И пришел задать ему вопросы. А его нет…

Непорядок аднака!!!

anonymous ()
Ответ на: комментарий от Legioner

Ура. Хороший клиент стал ещё лучше и безопасней.

Сколько там ещё дыр? Нормально, что у разрабов новый профильного образования и проблемы с логикой?

anonymous ()
Ответ на: комментарий от anonymous

Может руки кривые? У мну 6+ месяцев аптайм сервера в контейнере (хотя это не имеет значения), 50+ юзеров. Еще ни разу не было проблем с шифрованием, все чаты только с шифрованием. Возникают проблемы со звонками (микрофон, динамик, не выкл экран), но и эти проблемы по тихой решаются. Не путать проблемы с не дозвонами, тут просто тупо у людей руки не оттуда растут, нормально coturn сервер настроить не могут. У меня в общем 2 synapse сервера, один в корпоративе используется на своей железке, второй на впске для личных нужд, нет всего того что ты описываешь

achilles_85 ()
Ответ на: комментарий от anonymous

Да не так. Это как джаббер только пориджи писали, увидали они xml и расширяемость и такие ээ не. Вот мы щас накидаем на питоне на обычном http с поллингом. 2021 год на дворе, матрикс получает новые сообщения с сервера с помощью технологии которая была меистримом в чат серверах в 2015 году. А может и еще раньше.

Но мальцы бодрые, они свой позор с диким потреблением ресурсов в преимущество превратили предлагая тебе купить у них saas с красивым доменом и щеголять с персональным сервером за пяток баксов в месяц. Пориджи, что с них взять. Насчет не нужно можно посмотреть как там за годы дела с сервером обстоят и когда уже будет починено потребление ресурсов. Краткий ответ - никогда. Ведь вопрос с ресурсами отлично создает монетизацию, ведь когда нет проблем то и деньги брать не за что.

wrkngu0 ()
Последнее исправление: wrkngu0 (всего исправлений: 2)
Ответ на: комментарий от wrkngu0

Ты переоцениваешь желание полицейских беспределить. На них управа тоже находится и если они не очень заинтересованы, они действуют по закону. Запросить звонки у оператора они могут. А пилить зубы напильником с ненулевым шансом уехать на 15 лет, если это вскроется, они будут разве что за большой куш.

Бывают ситуации, как в Беларуси, когда дали отмашку и все уже понимают, что законы нынче побоку. Там да, можно всего ожидать.

Legioner ★★★★★ ()
Последнее исправление: Legioner (всего исправлений: 1)