Tuleap-Kompatibilität mit Openfire 3.7 oder neuer

347
ldubois

Ich habe einen Tuleap 8.10 Server mit Openfire 3.6.4. Nach dem Ausführen einer Schwachstellenanalyse habe ich die folgende Meldung:

9090 / tcp

51143 - Openfire Admin Console login.jsp XSS

Zusammenfassung

Eine Webanwendung auf dem Remote-Host weist eine Sicherheitsanfälligkeit für siteübergreifendes Scripting auf.

Beschreibung

Die Openfire-Administrationskonsole, die auf dem Remote-Host ausgeführt wird, hat eine Schwachstelle für siteübergreifendes Scripting. Die Eingabe des Parameters "Benutzername" von "login.jsp" wird nicht ordnungsgemäß bereinigt.

Ein Angreifer könnte dies ausnutzen, indem er einen Benutzer dazu verleitet, eine speziell gestaltete POST-Anforderung zu erstellen, was zu einer willkürlichen Skriptausführung im Browser des Benutzers führen kann.

Diese Version von Openfire hat wahrscheinlich andere Schwachstellen, obwohl Nessus diese Probleme nicht geprüft hat.

Lösung

Aktualisieren Sie auf Openfire 3.7.0 Beta oder höher.

Risikofaktor

Mittel

Ich habe in den Commits von Tuleap gesehen, dass 2012 eine Änderung vorgenommen wurde, um Openfire 3.6.4 anstelle von 3.7.1 zu verwenden.

Hier sind meine Fragen:

  1. Kann man mit Tuleap Openfire 3.7 oder höher installieren? (Kompatibilität mit dem Tuleap-Plugin-Openfire-3.6.4?)
  2. Warum wurde das 3.7.1 von Openfire fallen gelassen?
  3. Gibt es einen Willen, die von Tuleap für die nächsten Releases verwendete Openfire-Version zu aktualisieren?
0

1 Antwort auf die Frage

2
Thomas Gerbet

Dieses Problem ist uns bekannt und wir haben einige Vorarbeiten geleistet, um auf die neueste Version von Openfire zu wechseln ( beispielsweise https://gerrit.tuleap.net/#/c/4139/ ).

Wir können derzeit nicht weiter vorrücken, da in Openfire ein großer Fehler aufgetreten ist (siehe https://igniterealtime.org/issues/browse/OF-814 ), der bestehende Tuleap-Instanzen möglicherweise beschädigen könnte. Sobald dieser Fehler auf der Openfire-Seite behoben wurde, werden wir ein Upgrade durchführen.

Beachten Sie, dass Openfire bei Neuinstallationen standardmäßig nicht mehr standardmäßig installiert wird und nicht einfach von Hand installiert werden kann.

Verwandte Probleme