Совместимость Tuleap с openfire 3.7 или новее

343
ldubois

У меня есть сервер tuleap 8.10 с openfire 3.6.4. После запуска анализа уязвимостей у меня появляется следующее сообщение:

9090 / TCP

51143 - Консоль администратора Openfire login.jsp XSS

конспект

Веб-приложение на удаленном хосте имеет уязвимость межсайтового скриптинга.

Описание

Консоль администратора Openfire, запущенная на удаленном хосте, имеет уязвимость межсайтового скриптинга. Входные данные для параметра 'username' в 'login.jsp' не очищены должным образом.

Злоумышленник может воспользоваться этим, обманом заставив пользователя выполнить специально созданный запрос POST, что приведет к выполнению произвольного сценария в браузере пользователя.

Эта версия Openfire, вероятно, имеет другие уязвимости, хотя Nessus не проверял эти проблемы.

Решение

Обновитесь до Openfire 3.7.0 beta или новее.

Фактор риска

Средняя

Я видел в коммитах Tuleap, что в 2012 году было внесено изменение для использования openfire 3.6.4 вместо 3.7.1.

Вот мои вопросы:

  1. Можно ли установить openfire 3.7 или более позднюю версию с Tuleap? (совместимость с tuleap-plugin-openfire-3.6.4?)
  2. Почему 3.7.1 openfire был сброшен?
  3. Есть ли желание обновить версию openfire, используемую Tuleap для следующих выпусков?
0

1 ответ на вопрос

2
Thomas Gerbet

Нам известно об этой проблеме, и мы проделали некоторую предварительную работу для перехода на последнюю версию Openfire (например, вы можете посмотреть https://gerrit.tuleap.net/#/c/4139/ ).

В настоящее время мы не можем двигаться дальше из-за серьезной ошибки в Openfire (см. Https://igniterealtime.org/issues/browse/OF-814 ), которая могла привести к поломке существующих экземпляров Tuleap. Как только эта ошибка будет устранена на стороне Openfire, мы осуществим обновление.

Обратите внимание, что для снижения риска Openfire больше не устанавливается по умолчанию на новых установках и не может быть легко установлен вручную.

Похожие вопросы