LINUX.ORG.RU

Множественные уязвимости реализации E2E шифрования в некоторых клиентах Matrix

 ,


1

1

Обнародованы уязвимости CVE-2021-40823 и CVE-2021-40824 в клиентах Matrix, позволяющие раскрыть ключи сквозного шифрования. Уязвимости были найдены в ходе аудита безопасности клиента Element.

Уязвимости вызваны логическим ошибками в реализациях механизма предоставления повторного доступа к ключам, предложенных в matrix-js-sdk < 12.4.1 (CVE-2021-40823), matrix-android-sdk2 < 1.2.2 (CVE-2021-40824), matrix-rust-sdk < 0.4.0, FamedlySDK < 0.5.0 и Nheko ≤ 0.8.2. При определенных обстоятельствах можно заставить уязвимых клиентов раскрыть ключи шифрования сообщений, ранее отправленных этим клиентом собеседникам, учётные записи которых впоследствии взломали.

Использование этой уязвимости для чтения зашифрованных сообщений требует получения контроля над учетной записью получателя. Для этого необходимо либо напрямую скомпрометировать учетные данные пользователя, либо скомпрометировать его домашний сервер.

Таким образом, наибольшему риску подвергаются пользователи, находящиеся в зашифрованных комнатах, содержащих вредоносные серверы. Администраторы вредоносных серверов могут попытаться выдать себя за устройства своих пользователей, чтобы шпионить за сообщениями, отправляемыми уязвимыми клиентами в этой комнате.

Это не уязвимость в протоколах Matrix или Olm/Megolm, а также не в реализации libolm. Это ошибка реализации в некоторых клиентах Matrix и SDK, поддерживающих сквозное шифрование.

Исправленные версии уже доступны, рекомендуется немедленное обновление.

>>> Подробности

★★★★☆

Проверено: xaizek ()
Последнее исправление: xaizek (всего исправлений: 3)

Ответ на: комментарий от cocucka

Хмпп просто цуко работает. Все остальное, что создано руками одного человека, всегда ломается руками другого и/или группой лиц.

А с боку или в припрыжку - вопрос второстепенный.

Ну а про пгайваси, с учетом истории развития прожекта, наивно было на нее в принципе надеяться. Таки да.

anonymous
()
Ответ на: комментарий от anonymous

И таки да. Ви имеете нам сказать, щито omemo и otr никогда не проходиди аудита?

Я таки тебя умоляю!

anonymous
()
Ответ на: комментарий от anonymous

Агент Мойша

Я не агент, агент - мой знакомый. Клянусь, что этому агенту не давал в долг под щадящие 200% годовых!

anonymous
()
Ответ на: комментарий от anonymous

О,да он себя разорил в угоду этого достопочтенного господина!

Преклоняю пейсы.

anonymous
()
Ответ на: комментарий от cocucka

Ну и таки основной вопгос. Если, как ты говогишь, эти ваши говноджабберы древние с омемами никто не аудировал, как же тогда обьяснить, щито чуть больше чем все ключевые ведомства по миру используют внезапно джаббер, а не ванильные какие-то матриксы?

anonymous
()
Ответ на: комментарий от anonymous

Почему когда появляются «неудобные» для определенного круга лиц вопросы, всегда возникает вопрос что-то куда-то переносить, делегировать итд. Мы тут не там. Мы сидим обсуждаем конкретный проект. Его конкретные проблемы. В рамках конкретного топега. Чо ни таг та?

anonymous
()
Ответ на: комментарий от cocucka

Гугл зобанил? Карашо. Мин обороны сша.или как оно там по ихнему?) Анб. Дальше продолжать или сам спросить в строке поиска сможешь?

anonymous
()
Ответ на: комментарий от anonymous

В чем Ви таки видите обобщение?

В том, что не уточняется, регистрант с какими именно понями на аве чего-то там впаривал. В итоге тень падает вообще на всех регистрантов с понями на аве. А это возмутительно!

Vier_E ★★★
()
Ответ на: комментарий от cocucka

Его же никто не аудировал.

И есчо. Аудирование - это что-то из лингвистической подготовки.

А то, щито говоришь ты - это аудит.

anonymous
()
Ответ на: комментарий от Vier_E

Ну звиняй, я за три года ник его не помню. Помню аву расписную на аве. И топку за матрикс и мастодон всегда, везде и для всего!

Вот я, чтобы не быть закорузлым старпером, протестил в длительном режиме. Дождался новости о сабже. И пришел задать ему вопросы. А его нет…

Непорядок аднака!!!

anonymous
()
Ответ на: комментарий от Legioner

Ура. Хороший клиент стал ещё лучше и безопасней.

Сколько там ещё дыр? Нормально, что у разрабов новый профильного образования и проблемы с логикой?

anonymous
()
Ответ на: комментарий от anonymous

Может руки кривые? У мну 6+ месяцев аптайм сервера в контейнере (хотя это не имеет значения), 50+ юзеров. Еще ни разу не было проблем с шифрованием, все чаты только с шифрованием. Возникают проблемы со звонками (микрофон, динамик, не выкл экран), но и эти проблемы по тихой решаются. Не путать проблемы с не дозвонами, тут просто тупо у людей руки не оттуда растут, нормально coturn сервер настроить не могут. У меня в общем 2 synapse сервера, один в корпоративе используется на своей железке, второй на впске для личных нужд, нет всего того что ты описываешь

achilles_85
()
Ответ на: комментарий от Legioner

почта это почта, чат это чат

Как там в 2000-м, IMAP PUSH не завезли ещё?

mertvoprog
()
Ответ на: комментарий от anonymous

По сравнению с каким-нибудь хтоническим ужасом типа GitLab или MatterMost — обычное дело. Не для нищесерверочков, конечно. Для тырпрайза пойдёт.

mertvoprog
()
Ответ на: комментарий от cocucka

Жесть. Набил 5 звезд. Я тя ещё новорегом помню! Вот такусеньким!

Вот таких вот посредственностей оставляют, а скотинку и напильника убанили…. не прощу.

anonymous
()
Ответ на: комментарий от anonymous

Ты б ещё по эдику всплакнул.

cocucka ★★★★☆
() автор топика
Ответ на: комментарий от anonymous

Да не так. Это как джаббер только пориджи писали, увидали они xml и расширяемость и такие ээ не. Вот мы щас накидаем на питоне на обычном http с поллингом. 2021 год на дворе, матрикс получает новые сообщения с сервера с помощью технологии которая была меистримом в чат серверах в 2015 году. А может и еще раньше.

Но мальцы бодрые, они свой позор с диким потреблением ресурсов в преимущество превратили предлагая тебе купить у них saas с красивым доменом и щеголять с персональным сервером за пяток баксов в месяц. Пориджи, что с них взять. Насчет не нужно можно посмотреть как там за годы дела с сервером обстоят и когда уже будет починено потребление ресурсов. Краткий ответ - никогда. Ведь вопрос с ресурсами отлично создает монетизацию, ведь когда нет проблем то и деньги брать не за что.

wrkngu0
()
Последнее исправление: wrkngu0 (всего исправлений: 2)
Ответ на: комментарий от Legioner

Натурально искателей закладок просто настоятельно просят разблокировать телефон и показать телегу. Сесурити на высоте.

wrkngu0
()
Ответ на: комментарий от wrkngu0

Ты переоцениваешь желание полицейских беспределить. На них управа тоже находится и если они не очень заинтересованы, они действуют по закону. Запросить звонки у оператора они могут. А пилить зубы напильником с ненулевым шансом уехать на 15 лет, если это вскроется, они будут разве что за большой куш.

Бывают ситуации, как в Беларуси, когда дали отмашку и все уже понимают, что законы нынче побоку. Там да, можно всего ожидать.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.