GLSA-202401-12：Synapse：多個弱點

medium Nessus Plugin ID 187728

語系：

說明

遠端主機受到 GLSA-202401-12 中所述的弱點影響 (Synapse：多個弱點)

- Synapse 是由 Matrix.org Foundation 撰寫及維護的開放原始碼 Matrix 主伺服器。當使用者更新其密碼時，新認證可能會暫時保留在伺服器資料庫中。儘管伺服器已在驗證程序中得知使用者的密碼，但其並沒有獲得任何新增的功能。然後，這打破了密碼不會儲存在資料庫中的預期。因此，這些密碼可能會意外在資料庫備份中被擷取更長的時間。這些暫時儲存的密碼會在 48 小時期間自動清除。此問題已在 1.93.0 版中解決。建議所有使用者進行升級。此問題尚無已知的因應措施。
(CVE-2023-41335)

- Synapse 是由 Matrix.org Foundation 撰寫及維護的開放原始碼 Matrix 主伺服器。使用者可偽造任何事件的已讀回執 (若知道會議室 ID 和事件 ID)。請注意，使用者無法檢視事件，只能將其標記為已讀。這可能會造成混淆，因為用戶端會將事件顯示為使用者已讀取，即使他們不在會議室中也是如此。此問題已在 1.93.0 版中修正。建議所有使用者進行升級。此問題尚無已知的因應措施。
(CVE-2023-42453)

- Synapse 是開放原始碼的 Matrix 主伺服器。在低於 1.95.1 和 1.96.0rc1 的版本中，攻擊者可從 Synapse 查詢遠端使用者的快取裝置資訊。這可用來列舉主伺服器已知的遠端使用者。建議系統管理員升級至 Synapse 1.95.1 或 1.96.0rc1 以接收修補程式。作為因應措施，可以使用「federation_domain_whitelist」來限制與主伺服器的同盟流量。(CVE-2023-43796)

- Synapse 是由 Matrix.org Foundation 撰寫及維護的開放原始碼 Matrix 主伺服器。在 1.94.0 版之前，惡意伺服器 ACL 事件可暫時或永久影響效能，進而導致持續拒絕服務。在封閉的同盟上執行的主伺服器 (可能不需要使用伺服器 ACL) 不會受到影響。建議伺服器管理員升級至 Synapse 1.94.0 或更新版本。作為因應措施，可以使用管理員 API 清除並封鎖具有惡意伺服器 ACL 事件的聊天室。(CVE-2023-45129)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。