Synapse 通过媒体磁盘空间消耗来拒绝服务(CVE-2024-37302)
CVE编号
CVE-2024-37302
利用情况
暂无
补丁情况
N/A
披露时间
2024-12-04
漏洞描述
Synapse是一个开源的Matrix homeserver。在版本低于1.106的Synapse中,存在一个磁盘填充漏洞攻击,未经验证的攻击者可以诱导Synapse下载并缓存大量远程媒体。默认的速率限制策略不足以缓解这种情况。这可能导致服务拒绝,根据Synapse的部署方式,从进一步的媒体上传/下载失败到完全无法使用Synapse进程。Synapse 1.106引入了新的远程媒体下载的“漏桶”速率限制,以减少用户一次可以请求的数据量。这并没有完全解决这个问题,但确实限制了未经验证的用户请求大量数据以进行缓存的能力。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/element-hq/synapse/security/advisories/GHSA-4mhg-xv73-xq2x
文章评论