Tuleap compatilibity with openfire 3.7 or newer
I have a tuleap 8.10 server with openfire 3.6.4. After running a vulnerability analysis, I have the following message:
9090/tcp
51143 - Openfire Admin Console login.jsp XSS
конспект
A web application on the remote host has a cross-site scripting vulnerability.
Описание
Консоль администратора Openfire, запущенная на удаленном хосте, имеет уязвимость межсайтового скриптинга. Входные данные для параметра 'username' в 'login.jsp' не очищены должным образом.
Злоумышленник может воспользоваться этим, обманом заставив пользователя выполнить специально созданный запрос POST, что приведет к выполнению произвольного сценария в браузере пользователя.
Эта версия Openfire, вероятно, имеет другие уязвимости, хотя Nessus не проверял эти проблемы.
Решение
Обновитесь до Openfire 3.7.0 beta или новее.
Фактор риска
Средняя
Я видел в коммитах Tuleap, что в 2012 году было внесено изменение для использования openfire 3.6.4 вместо 3.7.1.
Вот мои вопросы:
- Можно ли установить openfire 3.7 или более позднюю версию с Tuleap? (совместимость с tuleap-plugin-openfire-3.6.4?)
- Почему 3.7.1 openfire был сброшен?
- Есть ли желание обновить версию openfire, используемую Tuleap для следующих выпусков?
1 ответ
Нам известно об этой проблеме, и мы проделали некоторую предварительную работу для перехода на последнюю версию Openfire (например, вы можете посмотреть https://gerrit.tuleap.net/#/c/4139/ ).
В настоящее время мы не можем двигаться дальше из-за серьезной ошибки в Openfire (см. https://igniterealtime.org/issues/browse/OF-814 ), которая могла привести к поломке существующих экземпляров Tuleap. Как только эта ошибка будет устранена на стороне Openfire, мы осуществим обновление.
Обратите внимание, что для снижения риска Openfire больше не устанавливается по умолчанию на новых установках и не может быть легко установлен вручную.