PT-2021-14381 · Synapse+1 · Synapse+1
Clokep
·
Publicado
2021-02-24
·
Atualizado
2022-10-24
·
CVE-2021-21274
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N |
**Nome do software vulnerável e versões afetadas:
Versões do Synapse anteriores à 1.25.0
Descrição:
Um servidor doméstico malicioso poderia redirecionar solicitações ao seu arquivo .well-known para um arquivo de grande tamanho, levando a um ataque de negação de serviço em que os servidores domésticos consomem significativamente mais recursos ao solicitar o arquivo .well-known de um servidor doméstico malicioso. Isso afeta qualquer servidor que aceite solicitações de federação de servidores não confiáveis.
Recomendações:
Para versões do Synapse anteriores à 1.25.0, atualize para a versão 1.25.0 para resolver o problema.
Como solução alternativa temporária, considere usar a configuração
federation domain whitelist para restringir os servidores domésticos com os quais se comunica por meio da federação.Correção
DoS
Allocation of Resources Without Limits
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Synapse