Матрицын ихэнх үйлчлүүлэгчдээс эмзэг байдал илэрсэн

Саяхан эмзэг байдлыг илрүүлсэн тухай мэдээ гарсан (CVE-2021-40823, CVE-2021-40824) ихэнх үйлчлүүлэгчийн програмуудад төвлөрсөн бус харилцаа холбооны платформын хувьд Матриц, шифрлэгдсэн төгсгөлөөс чат руу (E2EE) мессеж дамжуулахад ашигладаг түлхүүрүүдийн талаар мэдээлэл авах боломжийг олгодог.

Хэрэглэгчдийн хэн нэгэнд халдсан халдлага үйлдэгч чатаас өмнө илгээсэн мессежүүдийн кодыг тайлах боломжтой эмзэг үйлчлүүлэгчийн програмуудаас энэ хэрэглэгч рүү. Амжилттай ажиллуулахын тулд мессеж хүлээн авагчийн дансанд нэвтрэх шаардлагатай бөгөөд дансны параметр алдагдах, хэрэглэгчийн холбосон Matrix серверийг хакердах замаар хандах боломжтой болно.

Үүнийг дурдсан Эмзэг байдал нь халдагчдын хяналттай Matrix серверүүдийг холбосон шифрлэгдсэн чат өрөөнүүдийн хэрэглэгчдэд хамгийн аюултай юм. Ийм серверийн администраторууд эмзэг үйлчлүүлэгчийн програмаас чат руу илгээсэн мессежийг таслан зогсоохын тулд серверийн хэрэглэгчдийн дүрд тоглохыг оролдож болно.

Эмзэг байдал түлхүүрүүдэд дахин нэвтрэх эрхийг олгох механизмын логик алдаанаас үүдэлтэй өөр өөр үйлчлүүлэгчдийн саналыг илрүүлсэн. Matrix-ios-sdk, matrix-nio, libolm номын санд суурилсан хэрэгжилт нь эмзэг байдалд өртөмтгий байдаггүй.

Үүний дагуу Асуудалтай кодыг зээлсэн бүх програмуудад эмзэг байдал гарч ирдэг y Эдгээр нь матриц ба Olm / Megolm протоколуудад шууд нөлөөлдөггүй.

Тодруулбал, энэ асуудал нь вэб, ширээний болон Андройд системийн Element Matrix (хуучнаар Riot) клиент, түүнчлэн FluffyChat, Nheko, Cinny, SchildiChat зэрэг гуравдагч талын үйлчлүүлэгчийн програмууд болон номын санд нөлөөлж байна. Асуудал нь iOS-ийн албан ёсны үйлчлүүлэгчид болон Chatty, Hydrogen, mautrix, purple-matrix, Siphon програмуудад байдаггүй.

Нөлөөлөлд өртсөн үйлчлүүлэгчдийн засварлагдсан хувилбарууд бэлэн болсон байна; Тиймээс үүнийг аль болох хурдан шинэчлэхийг хүсч байгаа бөгөөд эвгүй байдалд хүлцэл өчье. Хэрэв та шинэчлэх боломжгүй бол эмзэг үйлчлүүлэгчдийг боломжтой болтол офлайн байлгах талаар бодож үзээрэй. Хэрэв эмзэг үйлчлүүлэгчид офлайн байгаа бол түлхүүрээ илчлэх гэж хуурч чадахгүй. Тэд шинэчлэгдэж дууссаны дараа аюулгүйгээр интернетэд буцаж болно.

Харамсалтай нь үйлчлүүлэгчид болон серверүүд дээр бүртгэлийн стандарт түвшинг ашиглан энэхүү халдлагын тохиолдлуудыг ухраан тодорхойлох нь хэцүү эсвэл боломжгүй юм. Гэсэн хэдий ч халдлага нь дансыг эвдэх шаардлагатай байгаа тул гэрийн серверийн админууд зохисгүй хандалтын шинж тэмдэг байгаа эсэхийг баталгаажуулах бүртгэлээ хянахыг хүсч магадгүй юм.

Эмзэг байдлыг олж илрүүлсэн түлхүүр солилцооны механизм нь түлхүүргүй үйлчлүүлэгчид илгээгчийн төхөөрөмж эсвэл бусад төхөөрөмжөөс түлхүүр хүсэх мессежийг тайлах боломжийг олгодог.

Жишээлбэл, энэ чадвар нь хэрэглэгчийн шинэ төхөөрөмж дээрх хуучин мессежийн кодыг тайлах эсвэл хэрэглэгч түлхүүрээ алдсан тохиолдолд шаардлагатай болно. Протоколын тодорхойлолт нь үндсэн хүсэлтэд хариу өгөхгүй бөгөөд зөвхөн нэг хэрэглэгчийн баталгаажсан төхөөрөмжид автоматаар илгээхийг заасан байдаг. Харамсалтай нь практик хэрэгжилтэд энэ шаардлага хангагдаагүй бөгөөд түлхүүр илгээх хүсэлтийг төхөөрөмжийн зохих таних тэмдэггүйгээр боловсруулсан болно.

Эмзэг байдлыг Element үйлчлүүлэгчийн аюулгүй байдлын шалгалтын явцад илрүүлсэн. Засварыг одоо асуудалтай байгаа бүх хэрэглэгчид ашиглах боломжтой боллоо. Хэрэглэгчид шинэчлэлтийг суулгахаасаа өмнө шинэчлэлтийг яаралтай суулгаж, үйлчлүүлэгчдийг салгахыг зөвлөж байна.

Хяналтыг нийтлэхээс өмнө эмзэг байдлыг ашиглах нотлох баримт байгаагүй. Стандарт үйлчлүүлэгч болон серверийн бүртгэлийг ашиглан халдлагын бодит байдлыг тодорхойлох боломжгүй, гэхдээ халдлага нь дансыг эвдэх шаардлагатай тул администраторууд өөрсдийн сервер дээрх баталгаажуулалтын бүртгэлийг ашиглан сэжигтэй нэвтрэлт байгаа эсэхийг шинжлэх боломжтой бөгөөд хэрэглэгчид жагсаалтыг үнэлэх боломжтой болно. Сүүлийн үеийн дахин холболт, итгэмжлэлийн байдлын өөрчлөлтийг данстай нь холбосон төхөөрөмжүүд.

Эх сурвалж: https://matrix.org


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.