PT-2021-4112 · Synapse+1 · Synapse+1

Richvdh

·

Publicado

2021-03-30

·

Atualizado

2024-06-15

·

CVE-2021-29471

CVSS v4.0

6.3

Média

VetorAV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Synapse anteriores à 1.33.2
Descrição
O problema está relacionado ao consumo descontrolado de recursos nas regras de envio do Synapse. Isso permite que um invasor remoto provoque uma negação de serviço. O problema surge quando determinados padrões, incluindo curingas, são usados na condição event match, levando a um desempenho insatisfatório no mecanismo de correspondência ao processar eventos de comprimento moderado.
Recomendações
Para versões anteriores à 1.33.2, atualize para a versão 1.33.2 para resolver o problema.
Como solução alternativa temporária, considere impedir que os usuários criem regras de push personalizadas, bloqueando tais solicitações em um proxy reverso.

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-331CWE-400

Identificadores relacionados

ALT-PU-2021-1971
BDU:2021-04702
CVE-2021-29471
GHSA-X345-32RC-8H85
OPENSUSE-SU-2024:11041-1
PYSEC-2021-135

Produtos afetados

Alt Linux
Synapse