Sicherheitslücke in Matrix und Mastodon

Habe ich vorhin bei Heise gefunden…

https://www.heise.de/news/BSI-findet-Sicherheitsluecken-in-Matrix-und-Mastodon-9853779.html

Im Fall von Matrix, kann ich folgendes sagen…

Sowohl bei Mastodon als auch bei Matrix konnten die Prüfer keine Hinweise auf ein strukturiertes, toolgestütztes Vorgehen zur regelmäßigen Identifikation und Korrektur von Schwachstellen finden (HEISE)

Man hätte einfach mal hier nachschauen sollen!

https://github.com/matrix-org/matrix-spec-proposals

2 Likes

Ahoi mein lieber Freund,

wie geht es dir?

Wollte mal wissen was du so treibst und wie so dein aktueller Gemütszustand ist?

Wir haben uns ja lange nicht mehr unterhalten und irgendwie scheint es mir so, als würde die Welt noch schneller verrückt werden.

Lieben Gruß

das Glückshormon

Bye…

Hat das jemand kapiert, so dass kurz erkläre kann ? Einerseits sind Berichte dass das Protokoll sicher ist, und andererseits das genaue gegenteil… Und jenseits von diesem Artikel wird berichtet dass es das sichereste Aktuell sein soll :slight_smile: :slight_smile: :slight_smile:

Bei der durchgeführten Sicherheitsanalyse durch den BSI erzielte Matrix gute Ergebnisse, leider war die Berichterstattung verwirrend…

Am 01.09.2024 wurde auf der Website „heise online“ ein ungenauer und somit verwirrender Artikel mit dem Titel:„BSI entdeckt schwere Sicherheitslücken in Mastodon und Matrix“ veröffentlicht. Hier reagierte Element – der Entwickler des Open-Source-Messenger Dienstes Matrix schnell und kontaktierte Heise, so dass die Schlagzeile umgehend korrigiert wurde in: „BSI entdeckt schwere Sicherheitslücken in Mastodon, einige kleine in Matrix“. Dennoch bleibt ein unschöner Beigeschmack zurück.

Wir – practicalBYTES – bieten den Matrix-Messenger als Managed Service an, sind absolut überzeugt und freuen uns über die guten Ergebnisse, die Matrix bei der Sicherheitsanalyse des BSI erzielen konnte. Mit diesem Blog möchten wir die ungenauen und verwirrenden Informationen im Bezug zur Matrix Sicherheit aus dem Artikel ansprechen und diese aufräumen.

Wie kam es zu dem Artikel?

Durch das Bundesamt für Sicherheit in der Informationstechnik (Abk.„BSI“) wurde eine Überprüfung des Quellcodes des Messenger-Dienstes Matrix und der Social-Media-Anwendung Mastodon durchgeführt. Dies geschah in Zusammenarbeit mit der Münchner Firma MGM Security Partners.
Die Codeanalyse von Open-Source-Software (Caos 2.0) identifizierte unterm Strich drei kleine Sicherheitslücken mit geringer Schwere bei dem Open Source Messenger Matrix.

Es ist sehr erfreulich, dass Matrix so gut abschneidet und ein Beweis dafür, dass die deutsche Regierung zu Recht auf diesen Messanger vertraut.

Leider kann man den Artikel von Heise missverstehen, somit stellen wir mit diesem Blog die Dinge richtig.
Matrix entwickelte ein offeneseund dezentrales Kommunikationsprotokoll für sichere, interoperable Echtzeitkommuniktion über verschiedene Plattformen hinweg. Es ermöglicht Nutzern, Nachrichten, Sprach- und Videoanrufe zu tätigen sowie Dateien zu teilen, alles mit Ende-zu-Ende-Verschlüsselung für erhöhte Sicherheit und Datenschutz. Dank seiner dezentralen Natur können Unternehmen ihre eigenen Server betreiben und so die volle Kontrolle über ihre Daten behalten. Matrix fördert die Vernetzung unterschiedlicher Kommunikationsdienste durch Föderation und bietet Entwicklern flexible APIs, um das Protokoll in ihre Anwendungen zu integrieren oder neue Dienste zu erstellen, wodurch es eine universelle Lösung für die digitale Kommunikation bietet.
Unsere Antworten auf die Analyse-Ergebnisse des BSI:

Gemeldete Schwachstellen aus der BSI Sicherheitsanalyse Studie „zur statischen Codeanalyse der Kommunikationssoftware Matrix“

CVE-2023-45129 fixed ab v1.94.0

CVE-2023-42453 fixed ab v1.93.0

CVE-2023-41335 fixed ab v1.93.0

CVE-2023-32683 fixed ab v1.85.0

CVE-2023-32682 fixed ab v1.85.0

CVE-2023-32323 fixed ab v1.74.0

CVE-2022-41952 fixed ab v1.53.0

CVE-2022-39374 fixed ab v1.68.0

Alle Synapse Server mit einer Version ab einschließlich 1.94.0 enthalten keine der in der Studie genannten Schwachstellen mehr.
(Quelle → practicalbytes.de)

2 Likes