Fedora 39 : matrix-synapse (2023-4d4c73a8f0)

medium Nessus プラグイン ID 185179

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 39 ホストには、FEDORA-2023-4d4c73a8f0 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- Synapse は、Matrix.org Foundation によって作成および維持されているオープンソースの Matrix ホームサーバーです。ユーザーがパスワードを更新したとき、新しい認証情報がサーバーデータベースに一時的に保持される可能性があります。これは、認証プロセスの一部としてユーザーのパスワードを学習しているため、サーバーに新たな機能を与えるものではありませんが、パスワードがデータベースに保存されることはないであろうとのユーザーの期待を裏切るものです。その結果、これらのパスワードは、データベースバックアップで意図せずに長期間保存される可能性があります。これら一時的に保存されたこれらのパスワードは、48 時間後に自動的に消去されます。この問題は、バージョン 1.93.0で対処されています。ユーザーはアップグレードすることをお勧めします。この問題についての既知の回避策はありません。
(CVE-2023-41335)

- Synapse は、Matrix.org Foundation によって作成および維持されているオープンソースの Matrix ホームサーバーです。ユーザーが、ルーム ID とイベント ID を知っている場合、任意のイベントの既読通知を偽造できました。注意：ユーザーは単にイベントを既読済みとしてマークすることはできますが、イベントを表示することはできません。しかしこれは、ユーザーがルームにいなくても、クライアントにはイベントを既読したように表示されるため、混乱を招く可能性があります。この問題には、バージョン 1.93.0でパッチが適用されています。ユーザーはアップグレードすることをお勧めします。この問題についての既知の回避策はありません。
(CVE-2023-42453)

- Synapse は、Matrix.org Foundation によって作成および維持されているオープンソースの Matrix ホームサーバーです。1.94.0 より前のバージョンでは、悪意のあるサーバー ACL イベントが、一時的または永続的にパフォーマンスに影響を与え、持続的なサービス拒否を引き起こす可能性があります。閉じたフェデレーションで実行されているホームサーバー (おそらくサーバー ACL を使用する必要はない) は影響を受けません。サーバー管理者は、Synapse 1.94.0 以降にアップグレードすることをお勧めします。回避策として、悪意のあるサーバー ACL イベントのあるルームは、管理 API を使用してパージおよびブロックできます。(CVE-2023-45129)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。