我有一台 tuleap 8.10 服务器,上面装有 openfire 3.6.4。运行漏洞分析后,我收到以下消息:
9090/TCP
51143 - Openfire 管理控制台 login.jsp XSS
概要
远程主机上的 Web 应用程序存在跨站点脚本漏洞。
描述
远程主机上运行的 Openfire 管理控制台存在跨站点脚本漏洞。“login.jsp”的“用户名”参数输入未经过适当清理。
攻击者可以通过诱骗用户发出特制的 POST 请求来利用此漏洞,从而在用户的浏览器中执行任意脚本。
此版本的 Openfire 可能存在其他漏洞,但 Nessus 尚未检查这些问题。
解决方案
升级到 Openfire 3.7.0 beta 或更高版本。
风险因素
中等的
我从 Tuleap 的提交中看到,2012 年已将 openfire 3.6.4 改为使用 3.7.1。
以下是我的问题:
- 是否可以使用 Tuleap 安装 openfire 3.7 或更高版本?(与 tuleap-plugin-openfire-3.6.4 兼容?)
- 为什么 openfire 3.7.1 被删除了?
- 是否有意愿在下一个版本中升级 Tuleap 使用的 openfire 版本?
答案1
我们已意识到这个问题,并已做了一些前期工作以迁移到最新版本的 Openfire(您可以看到https://gerrit.tuleap.net/#/c/4139/例如)。
由于 Openfire 中存在一个重大错误,我们目前无法进一步推进(请参阅https://igniterealtime.org/issues/browse/OF-814) 可能会破坏现有的 Tuleap 实例。一旦 Openfire 端解决了此错误,我们就会进行升级。
请注意,为了降低风险,Openfire 不再在新安装中默认安装,并且不能轻松手动安装。