2021-1523: Matrix Synapse: Mehrere Schwachstellen ermöglichen u. a. einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2021-07-19 18:45): Neues Advisory
Version 2 (2021-07-26 11:40): Zwischenzeitlich wurde für Fedora 34 'matrix-synapse-1.38.1-1.fc34' veröffentlicht, wodurch das bisherige Update in den Status 'obsolete' versetzt wurde (Referenz hier entfernt). Das neue Update befindet sich im Status 'testing'. Es werden keine zusätzlichen Schwachstellen adressiert.

Betroffene Software

Netzwerk

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen, einen Open-Redirect-Angriff durchzuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Für Fedora 34 steht ein Sicherheitsupdate im Status 'testing' zur Behebung der Schwachstellen bereit. Matrix Synapse wird damit auf Version 1.38.0 aktualisiert.

Schwachstellen:

CVE-2021-21273

Schwachstelle in Matrix Synapse ermöglicht Open-Redirect-Angriff

CVE-2021-21274

Schwachstelle in Matrix Synapse ermöglicht Denial-of-Service-Angriff

CVE-2021-21332

Schwachstelle in Matrix Synapse ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-21333

Schwachstelle in Matrix Synapse ermöglicht Darstellen falscher Informationen

CVE-2021-21392

Schwachstelle in Matrix Synapse ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-21393 CVE-2021-21394

Schwachstellen in Matrix Synapse ermöglichen Denial-of-Service-Angriff

CVE-2021-29471