FreeBSD:py-matrix-synapse -- 無効な形式のイベントにより、ユーザーがフェデレーションルームに参加できない可能性があります(2327234d-fc4b-11ea-adef-641c67a117d8)

high Nessus プラグイン ID 140725

言語:

New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。

説明

影響を受けるSynapseバージョンでは、すべてのイベントに「origin」フィールドが設定されていると想定しています。「origin」フィールドのないイベントがフェデレーションルームに送信されると、不正な形式のイベントをフェッチできないために、そのルームにまだ参加していないサーバーはこれを実行できません。影響:攻撃者が意図的に無効な形式のイベントをルームに送信することでサービス拒否を引き起こし、新しいサーバー(およびそのユーザー)がルームに入らないようにする可能性があります。

ソリューション

影響を受けるパッケージを更新してください。

関連情報

https://github.com/matrix-org/synapse/issues/8319

https://github.com/matrix-org/synapse/pull/8324

https://github.com/matrix-org/synapse/blob/v1.19.3/CHANGES.md

http://www.nessus.org/u?95ea8b63

プラグインの詳細

深刻度: High

ID: 140725

ファイル名: freebsd_pkg_2327234dfc4b11eaadef641c67a117d8.nasl

バージョン: 1.1

タイプ: local

公開日: 2020/9/22

更新日: 2020/9/22

依存関係: ssh_get_info.nasl

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:py36-matrix-synapse, p-cpe:/a:freebsd:freebsd:py37-matrix-synapse, p-cpe:/a:freebsd:freebsd:py38-matrix-synapse, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2020/9/21

脆弱性公開日: 2020/9/16