2018-1152: Synapse: Zwei Schwachstellen ermöglichen u.a. eine Privilegieneskalation

Historie:

Version 1 (2018-06-18 14:07)

Neues Advisory

Betroffene Software

Netzwerk

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle in Matrix Synapse ermöglicht einem entfernten, einfach authentifizierten Angreifer Informationen auszuspähen und falsche Informationen darzustellen. Ein entfernter, nicht authentisierter Angreifer kann eine weitere Schwachstelle ausnutzen, um Räume mit bestimmten Konfigurationen unter seine Kontrolle zu bringen.

Für Fedora 28 steht Synapse 0.31.2 im Status 'testing' als Sicherheitsupdate bereit. Dieses Update enthält außerdem das neue Paket 'python-prometheus_client-0.2.0-1.fc28', das durch eine Abhängigkeit für 'synapse-0.31' benötigt wird. Das ursprüngliche Sicherheitsupdate für Fedora 28 behandelte nur CVE-2018-12291 mit einem Update auf Synapse 0.31.1 und wurde im Kontext der Veröffentlichung von Synapse 0.31.2 aktualisiert, bevor es den Status 'testing' erreicht hat.

Die für die Behebung der im Pull Request 3397 genannten Schwachstelle notwendigen Änderungen an den Autorisationsregeln für 'power_level'-Events werden aktuell noch diskutiert (Referenz anbei).

Schwachstellen:

CVE-2018-12291

Schwachstelle in Matrix Synapse ermöglicht Ausspähen von Informationen

CVE-2018-12423

Schwachstelle in Matrix Synapse ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.