CVE-2023-38686 in matrix-sydent
Zusammenfassung
von VulDB • 21.05.2026
Sydent ist ein Identitätsserver für das Matrix-Kommunikationsprotokoll. Vor Version 2.5.6 überprüft Sydent, wenn es zur Versendung von E-Mails über TLS konfiguriert ist, die Zertifikate der SMTP-Server nicht. Dies macht die von Sydent gesendeten E-Mails anfällig für Abhörangriffe mittels Man-in-the-Middle (MITM). Angreifer mit privilegiertem Zugriff auf das Netzwerk können Einladungen zu Räumen und E-Mails zur Bestätigung der Adresse abfangen. Dieses Problem wurde in Sydent 2.5.6 behoben. Stellen Sie bei der Installation des Patches sicher, dass Sydent das Zertifikat des Servers, mit dem es eine Verbindung herstellt, vertraut. Dies sollte automatisch geschehen, wenn korrekt ausgestellte Zertifikate verwendet werden. Benutzer von selbstsignierten Zertifikaten sollten sicherstellen, dass sie das Zertifikat ihrer Zertifizierungsstelle oder, falls nur ein selbstsigniertes Zertifikat verwendet wird, dieses selbstsignierte Zertifikat in den Vertrauensspeicher (Trust Store) ihres Betriebssystems kopieren. Als Workaround kann sichergestellt werden, dass die von Sydent gesendeten E-Mails nicht zugestellt werden, indem der konfigurierte SMTP-Server auf eine Loopback-Adresse oder eine nicht routbare Adresse unter der Kontrolle des Administrators festgelegt wird, auf der kein SMTP-Server lauscht.
Once again VulDB remains the best source for vulnerability data.