漏洞描述:
Openfire 是免费的、开源的、基于可拓展通讯和表示协议(XMPP)、采用Java编程语言开发的实时协作服务器。Openfire安装和使用都非常简单,并利用Web进行管理。单台服务器甚至可支持上万并发用户。
Openfire 中存在路径遍历漏洞,远程攻击者利用该漏洞可以绕过身份认证。
影响版本:
3.10.0 <= Openfire < 4.6.8
4.7.0 <= Openfire < 4.7.5
如果一个实例Openfire受到影响,按照这些步骤。打开浏览器中的隐身模式,或者确保没有任何证会议与Openfire管理控制台。 打开下面的网址(可能修改的名服务器运行Openfire):
http://localhost:9090/setup/setup-s/%u002e%u002e/%u002e%u002e/log.jsp
如果这表示部分openfire日志文件,然后实例Openfire受此影响的脆弱性。 注意,不同版本的Openfire会显示一个不同的布局。较新版本的Openfire预期可以显示日志文件,在一个黑暗的背景,而旧的版本将展示一个很大程度上白页。(取决于内容的记录文件,这个网页可能是空洞的,除了一个头!)
如果没有重定向到登录网页,实例是有可能不受影响。
修复方法:
升级至安全版本4.6.8 或 4.7.5及以上
https://www.igniterealtime.org/downloads/#openfire
缓解方案:
限制网络访问,切勿将 Openfire 管理控制台暴露于互联网,使用网络安全措施,确保只有受信任成员才能访问。
使用身份验证过滤器清理器插件https://www.igniterealtime.org/projects/openfire/plugin-archive.jsp?plugin=authfiltersanitizer