Synapse Servers at Risk: Zero-Day DoS in the Wild
2025/03/27 SecurityOnline — OSS の Matrix ホームサーバ実装である Synapse に、深刻なゼロデイ脆弱性が発見された。すでに、この脆弱性は悪用されており、サービス拒否状態が引き起こされる可能性が生じている。
Synapse と Matrix とは?
Synapse は、Element により開発/保守されている、OSS の Matrix ホームサーバ実装である。Matrix は、安全でインターオペラビリティのある、リアルタイム通信のオープン・スタンダードとして定義されている。
脆弱性の詳細
CVE-2025-30355 (CVSS 7.1):この脆弱性により、不正なイベントを介したフェデレーション・サービス拒否の可能性が生じる。
影響の範囲
脆弱な Synapse サーバ (バージョン 1.127.0 以下) による受信が行われるときに、他のサーバとのフェデレーションを妨げる特定のイベントが、悪意のサーバにより作成される。それにより通信が中断され、影響を受けるサーバには、広範な Matrix ネットワークから効果的に分離される可能性が生じる。重要なことは、この脆弱性の積極的な悪用が確認されていることだ。
影響を受けるバージョン
Synapse バージョン 1.127.0 以下
パッチ
この脆弱性は、Synapse バージョン 1.127.1 で修正されている。
回避策
以下のシナリオは、この脆弱性の影響を受けない。
- 信頼できるサーバで構成される、クローズド・フェデレーション環境
- 非フェデレーション・インストール
推奨事項
- 迅速な更新:Synapse サーバの管理者にとって重要なことは、バージョン 1.127.1 へと速やかにアップグレードし、悪用のリスクを軽減することだ。
- 監視:Synapse サーバを注意深く監視し、悪用を試みる可能性のある、異常なアクティビティの兆候を確認する。
- セキュリティのベスト・プラクティス:サーバ管理のセキュリティのベスト・プラクティスを確認して強化し、潜在的な攻撃ベクターを最小限に抑える。
OSS の Matrix ホームサーバ実装である Synapse の脆弱性が悪用されているとのことです。ご利用のチームも多いことかと思います。パッチの適用および、本文中の回避策や推奨事項をご参照下さい。よろしければ、カテゴリ OpenSource も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.