Compatibilidade do Tuleap com o openfire 3.7 ou mais recente

0

Eu tenho um servidor tuleap 8.10 com o openfire 3.6.4. Depois de executar uma análise de vulnerabilidade, tenho a seguinte mensagem:

9090/tcp

51143 - Openfire Admin Console login.jsp XSS

Synopsis

A web application on the remote host has a cross-site scripting vulnerability.

Description

The Openfire admin console running on the remote host has a cross-site scripting vulnerability. Input to the 'username' parameter of 'login.jsp' is not properly sanitized.

An attacker could exploit this by tricking a user into making a specially crafted POST request, resulting in arbitrary script execution in the user's browser.

This version of Openfire likely has other vulnerabilities, though Nessus has not checked for those issues.

Solution

Upgrade to Openfire 3.7.0 beta or later.

Risk Factor

Medium

Eu tenho visto nos commits de Tuleap que em 2012, uma mudança foi feita para usar o openfire 3.6.4 ao invés do 3.7.1.

Aqui estão minhas perguntas:

  1. É possível instalar o openfire 3.7 ou posterior com o Tuleap? (compatibilidade com o tuleap-plugin-openfire-3.6.4?)
  2. Por que o 3.7.1 do openfire foi descartado?
  3. Há alguma vontade de atualizar a versão openfire usada pela Tuleap para os próximos lançamentos?
por ldubois 16.02.2016 / 02:15

1 resposta

2

Estamos cientes deste problema e fizemos alguns trabalhos preliminares para mudar para a versão mais recente do Openfire (você pode ver link por exemplo).

No momento, não podemos avançar devido a um grande bug no Openfire (consulte link ) que pode interromper o Tuleap existente instâncias. Assim que este bug for resolvido no lado do Openfire, faremos o upgrade.

Note que, para mitigar o risco, o Openfire não é mais instalado por padrão em novas instalações e não pode ser instalado facilmente manualmente.

    
por 16.02.2016 / 11:24