CVE-2022-41952

Versões do Synapse anteriores à 1.53.0

O problema ocorre quando o Synapse tenta gerar visualizações de URL para URLs de streaming de mídia sem limitar adequadamente o tempo de conexão. As conexões só são encerradas após uma determinada quantidade de dados (max spider size, padrão 10M) ter sido baixada, o que pode levar a conexões de longa duração e tráfego excessivo para servidores de streaming de mídia como o Icecast. Isso pode ocorrer se uma URL de streaming for publicada em uma sala grande com muitas instâncias do Synapse que tenham a visualização de URL ativada. A versão 1.52.0 introduz um mecanismo de tempo limite para encerrar conexões de visualização de URL após 30 segundos, e a versão 1.53.0 implementa ainda uma lista de permissões para tipos de conteúdo que podem tentar visualizações de URL.

Para resolver totalmente o problema, atualize para a versão 1.53.0.

Como solução alternativa temporária, desative a funcionalidade de pré-visualização de URL definindo url preview enabled: false no arquivo de configuração do Synapse.