Synapse-Upgrade: So bringst du deine Räume sicher auf Version 12

Am 11. August 2025 gab es ein koordiniertes Sicherheitsupdate in der Matrix-Welt, das die Room Version 12 eingeführt hat. Diese Version behebt mehrere Sicherheitslücken, darunter CVE-2025-49090. Wenn dein Raum noch auf einer älteren Version läuft, können Angreifer potenziell Lücken im Event-Handling ausnutzen. Das betrifft alle Homeserver, die noch auf älteren Synapse-Versionen unterwegs sind.

Ein Upgrade bringt nicht nur mehr Sicherheit, sondern auch neue Moderationsfunktionen. Besonders spannend ist MSC4293 – „Redact on Kick/Ban“: Nachrichten eines Nutzers können beim Kick oder Bann automatisch redigiert werden. Das erspart Moderatoren und Bots wie Draupnir oft eine Menge Handarbeit.

🗂 Planung ist alles – besonders bei öffentlichen Räumen

Bei öffentlichen Räumen solltest du das Upgrade gut planen. Dort sind oft viele Nutzer aus verschiedenen Homeservern aktiv, und nicht alle haben sofort auf die nötige Synapse-Version geupdated. Wenn du zu früh umstellst, bleiben manche draußen, bis ihr Server aktualisiert wurde.

Für private oder interne Räume ist das weniger kritisch. Hier kannst du das Upgrade meist sofort durchführen, weil du die Teilnehmer kennst und gezielt informieren kannst. Ich empfehle dir, das Ganze einmal mit einem Testraum durchzuspielen. Genau das habe ich gemacht: Ich habe einen öffentlichen Raum mit Alias angelegt, Bots hinzugefügt, einen Freund von einem anderen Homeserver eingeladen und das Upgrade getestet. So bekommst du ein Gefühl für den Ablauf und siehst sofort, wo es haken könnte.

Diesen Beitrag habe ich nach bestem Wissen und mit größter Sorgfalt erstellt. Falls dir dennoch etwas auffällt, das ergänzt werden sollte oder nicht ganz korrekt ist, melde dich bitte umgehend bei mir. Ich werde den Beitrag dann sehr gerne anpassen, damit er für alle Leser so hilfreich und aktuell wie möglich bleibt.

🛠 Vorbereitung: Das solltest du vor dem Upgrade erledigen

Bevor du loslegst, gibt es ein paar wichtige Schritte:

• Clients aktualisieren: Prüfe in den Release Notes, ob dein Matrix-Client Räume mit Version 12 unterstützt. Element tut das auf jeden Fall.
• Synapse aktualisieren: Dein Homeserver muss mindestens auf 1.135.2 laufen, besser gleich auf 1.136.0.
• Verfügbarkeit prüfen: Nach dem Update kannst du mit diesem Befehl auf der Bash checken, ob dein Server Räume in der Version 12 unterstützt:

curl -s -H "Authorization: Bearer <DEIN-ADMIN-TOKEN>" \
  "https://matrix.domain.com/_matrix/client/v3/capabilities" \
  | jq '.capabilities["m.room_versions"]'

• Versionen der anderen prüfen: In öffentlichen Räumen macht es Sinn, die Synapse-Version aller Nutzer zu checken. Mit Maubot und dem Plugin rsvc kannst du das folgendermaßen machen:

!version match Synapse < 1.135.2

• Admin-Account bereithalten: Du brauchst einen Account mit Power Level 100 im Raum, den du upgraden möchtest.
  Nutze für das Upgrade am besten einen dedizierten Admin-Account.
• Rate Limits prüfen: Wenn dein Account nicht rate-limitiert ist, musst du nichts tun. Falls doch, passe die Konfiguration in der homeserver.yaml an oder trage den Account in rate_limit_exempt_user_ids ein.

• Spaces im Blick behalten: Räume, die in Spaces hängen, müssen im Space-Eintrag auf die neue Raum-ID geändert werden. Das geht nur automatisch, wenn der Upgrader-Account dort Editor-/Adminrechte hat.
• Aliases beachten: Aliase auf deinem Homeserver werden automatisch umgebogen, Aliase auf fremden Homeservern musst du dort manuell anpassen (lassen).
• Bots, Bridges und Plugins prüfen: Stelle sicher, dass alle Integrationen, die du im Raum nutzt, mit Room Version 12 kompatibel sind. Dazu gehören Moderationsbots wie Draupnir, Bridges zu Telegram, WhatsApp oder Discord, Maubot-Plugins und alle anderen Bots, die automatisiert Aktionen im Raum ausführen. Falls es in den Release Notes keine expliziten Hinweise gibt, teste die Funktion in einem Testraum vorab.
• Draupnir updaten: Falls du Draupnir einsetzt, solltest du vor dem Raum-Upgrade unbedingt mindestens auf Version 2.6.0 aktualisieren. Ältere Versionen sind nicht mit Room Version 12 kompatibel und werden Probleme machen.

Um lokale Nutzer während des Upgrades zu entlasten, kannst du optional in der homeserver.yaml temporär die automatische Annahme von Einladungen aktivieren. Damit landen sie direkt im neuen Raum, ohne manuell klicken zu müssen. Standardmäßig ist diese Funktion oft nur für Direktnachrichten aktiv. Für die Umstellung kannst du die Werte wie folgt setzen:

auto_accept_invites:
    enabled: true
    only_for_direct_messages: false
    only_from_local_users: true

Nach dem Upgrade solltest du diese Einstellung wieder auf den ursprünglichen Wert zurücksetzen, um unerwünschte Auto-Joins zu vermeiden.

🚀 Das Upgrade

Wenn alles vorbereitet ist, kannst du das Upgrade starten.
In Element geht das einfach mit:

/upgraderoom 12

Bestätige den Dialog. Dein Homeserver erstellt anschließend den neuen Raum, setzt ein m.room.tombstone im alten und lädt alle Mitglieder in den neuen ein. In meinem Test wurden unter anderem alle Maubot-Instanzen automatisch migriert. Nur mein Chatbot musste neu eingeladen werden – das war aber in Sekunden erledigt.

📌 Nach dem Upgrade

• Alias prüfen und ggf. setzen: Wenn der Account, mit dem du geupgraded hast, die nötigen Rechte besitzt, kannst du direkt im neuen Raum den Alias selbst setzen. Auf deinem Homeserver wird der Alias meist automatisch übernommen, auf anderen Homeservern musst du ihn manuell anpassen.
• Nutzer einladen: Mit ausreichenden Berechtigungen kann der Upgrader-Account auch direkt alle fehlenden Mitglieder einladen. Die meisten werden automatisch rübergeholt – ausgenommen sind Nutzer, deren Homeserver noch nicht mindestens auf Synapse 1.135.2 läuft. Diese können dem neuen Raum nicht beitreten, bis deren Server aktualisiert ist.
• Bots & Bridges einladen: Manche Integrationen folgen nicht automatisch und müssen entweder manuell eingeladen oder in ihrer Konfiguration auf die neue Raum-ID umgestellt werden.

• Info für Nutzer: Nach dem Upgrade ist der alte Raum schreibgeschützt – es können dort keine neuen Nachrichten mehr gepostet werden. Du kannst aber in den Raumeinstellungen den Titel und die Beschreibung ändern, um auf den neuen Raum hinzuweisen. Alternativ informierst du die Mitglieder schon vor dem Upgrade (siehe Hinweise weiter oben), damit sie rechtzeitig Bescheid wissen und dem neuen Raum direkt beitreten können.
• Spaces aktualisieren: Falls nötig, den neuen Raum im entsprechenden Space einfügen und den alten entfernen. Das passiert nur automatisch, wenn der Upgrader-Account dort die nötigen Rechte hat.

⚙️ Optional: Standardversion von Räumen auf 12 setzen

Wenn du möchtest, dass alle neuen Räume automatisch mit Version 12 erstellt werden, setze in deiner homeserver.yaml:

default_room_version: "12"

Das ist sinnvoll, wenn du vor allem neue Räume betreibst und sicher bist, dass alle wichtigen Bots und Bridges v12 unterstützen.
Aber Achtung: Stand August 2025 habe ich in den Release Notes von diversen Bridges (Meta/Instagram, WhatsApp, Telegram, Signal) noch keine expliziten Hinweise zur v12-Kompatibilität gesehen. Solange das so ist, bleibe ich vorsichtig und setze den Default noch nicht um.

📝 Fazit

Ein Upgrade auf Room Version 12 ist aus Sicherheitsgründen Pflicht, aber du solltest es bei öffentlichen Räumen mit Bedacht angehen. Plane den Termin, informiere deine Nutzer und teste vorher in einem separaten Raum. So vermeidest du, dass Mitglieder ausgeschlossen werden oder Integrationen ausfallen. Bei privaten Räumen kannst du schneller reagieren, musst aber trotzdem Bots und Bridges im Blick behalten.

👥 Techniverse Community

Matrix, Selfhosting, smarte IT-Lösungen und jede Menge Nerd-Talk – das findest du in der Techniverse Community.
Komm vorbei, tausch dich aus und werde ein Teil von uns.
👉 Unsere Gruppe auf Matrix: #community:techniverse.net
Wir freuen uns auf dich!