Hacker News 中文摘要

RSS订阅

即将发布针对所有Matrix服务器实现的协同安全修复 -- Upcoming coordinated security fix for all Matrix server implementations

原文链接 | HN讨论 | 2025-07-17 21:46:07

文章摘要

Matrix.org基金会与Element服务器团队在过去六个月中发现了两个高严重性的协议漏洞(CVE-2025-49090等),涉及状态重置问题。为确保安全,已与所有已知的服务器实现共享了详细信息,并计划于2025年7月22日协调发布安全修复。建议所有运行Matrix服务器的用户在补丁发布后尽快升级。新版本将引入新的房间版本(12),并要求现有房间进行升级。

文章总结

主要内容总结

标题: 预先披露:即将对所有Matrix服务器实现进行协调的安全修复

发布日期: 2025年7月16日

文章概述:

在过去六个月中,Element服务器团队和Matrix.org基金会安全团队一直在进行一个重大项目,研究“状态重置”问题,即Matrix的状态解析算法可能产生意外结果的情况。在此过程中,团队发现了两个高严重性的协议漏洞(CVE-2025-49090;另一个尚未分配CVE编号)。

由于联邦协议漏洞的安全影响,团队在过去四周内与所有已知的活跃服务器实现共享了详细信息,并计划在2025年7月22日17:00 UTC对所有Matrix服务器实现进行协调的安全发布。如果您在不受信任的联邦(如公共联邦)中运行Matrix服务器,请准备在补丁版本发布后立即升级。

这些漏洞已通过MSCs(Matrix规范提案)得到解决,这些提案已与Spec Core团队和服务器实现社区共享、审查,并处于最终评论期(合并处理)。这将导致一个非周期的Matrix规范发布(1.16),引入一个新的房间版本(12)以解决相关漏洞,并要求现有房间进行升级。在给予服务器和房间管理员升级时间后,团队计划在2025年7月25日17:00 UTC解除MSCs的保密并补充测试。

澄清(2025年7月16日17:30 UTC): 房间管理员应根据自己的方便计划升级房间,类似于之前的安全相关房间版本升级(例如v1到v2)。虽然尽早升级更好,但由于这些漏洞并非严重级别,房间管理员无需在7月22日立即升级房间。例如,Matrix.org基金会可能会在7月25日之后的某个时间升级其公共房间。

客户端开发者的重要信息:

  • 客户端开发者应审查MSC4291: “Room IDs as hashes of the create event”,以确保其客户端能够接受新的房间ID格式,并且不再期望m.room.create事件中的content.predecessor.event_id

  • v12中的另一个变化是房间创建者将拥有比其他用户更高的权限。因此,基于权限级别限制用户行为的客户端需要更新,以了解房间创建者实际上拥有无限权限。创建者列在m.room.power_levels事件的用户块中,而是定义为m.room.create事件的sender字段,或create事件的content中的新可选additional_creators数组字段中的条目。

  • 最后,在创建房间时使用power_level_content_override的客户端不得为房间创建者分配权限级别,否则/createRoom请求将失败。

项目背景:

这是一个极其复杂的协调项目,其安全影响要求团队偏离通常的MSC流程,并在保密下开发更改。这种快速发布新稳定房间版本的选择虽然不理想,但为了保持生态系统的安全,团队不得不采取这些措施。团队感谢Matrix服务器实现社区在准备协调安全发布方面的支持,并感谢Timo Kösters帮助启动该项目。

后续行动:

团队将在下周二(假设披露时间表没有延迟)提供更多详细信息。

支持Matrix.org基金会:

Matrix.org基金会是一个非营利组织,仅依靠捐赠运营。其核心使命是维护Matrix规范,但它还做了更多工作,如维护matrix.org主服务器和托管多个免费桥接器,并为我们共同的数字隐私和尊严权利而战。支持我们

评论总结

评论1(评分:无,作者:mystraline): 作者主要批评了Matrix平台在管理上的不足,特别是matrix.org服务器上存在儿童色情/CSAM(儿童性虐待材料)问题。由于许多聊天室缺乏管理,加上协议问题,这些CSAM垃圾信息发送者可以进行长时间的非法图片传播。作者建议用户避免使用matrix.org的聊天室,禁用图片预加载和下载,并推荐使用私人服务器和房间。

关键引用: 1. "The main chat server matrix.org has a child porn/CSAM 'problem'."(主要聊天服务器matrix.org存在儿童色情/CSAM问题。) 2. "Banning also doesn’t work, due to distributed nature of rooms."(由于房间的分布式特性,封禁也不起作用。)

评论2(评分:无,作者:42lux): 作者认为IRC(互联网中继聊天)是更好的选择,暗示IRC在解决类似问题上更为有效。

关键引用: 1. "IRC is and was the answer."(IRC一直是答案。)