Mehrere Schwachstellen im Jabber-Server OpenFire
Die Schwachstellen ermöglichen Angreifern unter anderem, ein System auf Basis des freien Server für das Instant-Messaging-Protokoll XMPP (Jabber) unter ihre Kontrolle zu bekommen oder es auszuspähen.
- Daniel Bachfeld
Mehrere Schwachstellen in OpenFire, dem freien Server für das Instant-Messaging-Protokoll XMPP (Jabber), ermöglichen Angreifern, ein System unter ihre Kontrolle zu bekommen oder das System auszuspähen, schreibt der Sicherheitsdienstleisters Core Security in einem offiziellen Fehlerbericht. Ursache der Probleme sind Cross-Site-Scripting-Lücken (XSS) in mehreren JavaServer Pages, die laut Core unter anderem zu einer Cross-Site-Request-Forgery-Lücke (CSRF) führen können, durch die wiederum das Ausführen von Code auf dem Server möglich ist.
Dazu ist allerdings die Interaktion eines Administrators erforderlich, der einen präparierten Link anklickt und gleichzeitig an OpenFire angemeldet ist. Durch CSRF wäre es dann möglich, über den Browser des Admins präparierte Java-Plug-ins auf den Server zu laden. Zudem weist der Server eine Directory-Traversal-Lücke auf, durch die der Zugriff auf sämtliche Log-Dateien (*.log) auf einem Server möglich ist.
Betroffen ist OpenFire 3.6.2, in der Version 3.6.3 sollen die Fehler behoben. Auf den Seiten des Herstellers wird allerdings immer noch Version 3.6.2 als aktuelle Version angeboten. Wann die neue Version erscheint, ist unklar. Möglicherweise gab es Koordinierungsprobleme zwischen Core und Jive Software, sodass das Advisory vor der neuen Version erschien.
Siehe dazu auch:
- Openfire multiple vulnerabilities, Fehlerbericht von Core
(dab)
