Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07183

Опубликовано: 26 сент. 2023
Источник: fstec
CVSS3: 4.9
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость механизма управления доступа Access Control List (ACL) домашнего сервера Synapse связана с распределением ресурсов без ограничений и регулирования. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Novell Inc.
Fedora Project
Matrix.org team

Наименование ПО

openSUSE Tumbleweed
Fedora
Synapse

Версия ПО

- (openSUSE Tumbleweed)
37 (Fedora)
38 (Fedora)
до 1.94.0 (Synapse)

Тип ПО

Операционная система
Сетевое средство

Операционные системы и аппаратные платформы

Novell Inc. openSUSE Tumbleweed -
Fedora Project Fedora 37
Fedora Project Fedora 38

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Synapse:
https://matrix-org.github.io/synapse/latest/admin_api/rooms.html#version-2-new-version
https://github.com/matrix-org/synapse/pull/16360
https://github.com/matrix-org/synapse/security/advisories/GHSA-5chr-wjw5-3gq4
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/KEVRB4MG5UXQ5RLZHSUJXM5GWEBYYS5B/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WRO4MPQ6HOXIUZM6RJP6VTCTMV7RD2T3/
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-45129.html
Компенсирующие меры:
Используя интерфейс администратора (Admin API), удалите или заблокируйте доступ к ресурсам на основе Access Control List (ACL).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 47%
0.00243
Низкий

4.9 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-45129

CVSS3: 4.9
ubuntu
больше 2 лет назад

Synapse is an open-source Matrix homeserver written and maintained by the Matrix.org Foundation. Prior to version 1.94.0, a malicious server ACL event can impact performance temporarily or permanently leading to a persistent denial of service. Homeservers running on a closed federation (which presumably do not need to use server ACLs) are not affected. Server administrators are advised to upgrade to Synapse 1.94.0 or later. As a workaround, rooms with malicious server ACL events can be purged and blocked using the admin API.

redhat логотип

CVE-2023-45129

CVSS3: 4.9
redhat
больше 2 лет назад

Synapse is an open-source Matrix homeserver written and maintained by the Matrix.org Foundation. Prior to version 1.94.0, a malicious server ACL event can impact performance temporarily or permanently leading to a persistent denial of service. Homeservers running on a closed federation (which presumably do not need to use server ACLs) are not affected. Server administrators are advised to upgrade to Synapse 1.94.0 or later. As a workaround, rooms with malicious server ACL events can be purged and blocked using the admin API.

nvd логотип

CVE-2023-45129

CVSS3: 4.9
nvd
больше 2 лет назад

Synapse is an open-source Matrix homeserver written and maintained by the Matrix.org Foundation. Prior to version 1.94.0, a malicious server ACL event can impact performance temporarily or permanently leading to a persistent denial of service. Homeservers running on a closed federation (which presumably do not need to use server ACLs) are not affected. Server administrators are advised to upgrade to Synapse 1.94.0 or later. As a workaround, rooms with malicious server ACL events can be purged and blocked using the admin API.

debian логотип

CVE-2023-45129

CVSS3: 4.9
debian
больше 2 лет назад

Synapse is an open-source Matrix homeserver written and maintained by ...

github логотип

GHSA-5chr-wjw5-3gq4

CVSS3: 4.9
github
больше 2 лет назад

matrix-synapse vulnerable to denial of service due to malicious server ACL events

EPSS

Процентиль: 47%
0.00243
Низкий

4.9 Medium

CVSS3

6.8 Medium

CVSS2