The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

14.07.2017 08:08  Выпуск сервера web-конференций Apache OpenMeetings 3.3 с устранением 11 уязвимостей

Организация Apache Software Foundation представила выпуск сервера web-конференций Apache OpenMeetings 3.3.0, который примечателен устранением 11 уязвимостей, пяти из которых присвоен высокий уровень опасности. Всем пользователям продукта рекомендуется срочно установить обновление.

В частности устранена уязвимость, позволяющая совершить подстановку SQL-кода аутентифицированным пользователем (CVE-2017-7681), осущестивить вставку JavaScript-кода в чат (CVE-2017-7663), провести CSRF- и XSS-атаки (CVE-2017-7666). Система аутентификации оказалась незащищена от перебора паролей и ботов (отсутствует капча), пароли хранились с использованием ненадёжных криптографических методов (CVE-2017-7673). Отсутствовала проверка загружаемых документов XML (CVE-2017-7664).

Из не связанных с безопасностью изменений можно отметить поддержку импорта/экспорта событий календаря-планировщика при помощи протоколов ical и caldav, поддержку загрузки видеофайлов на сервер, возможность сохранения резервных копий в формате zip, расширенные возможности переноса файлов в корзину в режиме drag&drop, средства для настройки звуковых уведомлений, возможность скрытия элементов в виртуальном конференц-зале. Решены проблемы с отображением интерфейса, например, перекрытием окон в IE и неверным порядном следования записей в чате.

Напомним, что Apache OpenMeetings в первую очередь нацелен на организацию видео- и аудиоконференций, проводимых через Web. Поддерживаются как проведение вебинаров с одним выступающим докладчиком, так и конференций с произвольным числом одновременно взаимодействующих между собой участников. Дополнительно предоставляются средства для интеграции с календарём-планировщиком, отправки индивидуальных или широковещательных уведомлений и приглашений, совместного доступа к файлам и документам, поддержания адресной книги участников, ведения протокола мероприятия, совместного планирования выполнения задач, трансляции вывода запускаемых приложений (демонстрация скринкастов), проведения голосований и опросов.

Один сервер может обслуживать произвольное число конференций, проводимых в отдельных виртуальных конференц-залах и включающих свой набор участников. Сервер поддерживает гибкие инструменты управления полномочиями и мощную систему модерирования конференций. Управление и взаимодействие участников производится через web-интерфейс. Код OpenMeetings написан на языке Java. Интерактивный web-интерфейс построен с использованием фреймворка OpenLaszlo. В качестве СУБД могут использоваться MySQL и PostgreSQL. Для организации вещания используется потоковый сервер Red5, который позволяет обеспечить возможность участия в видеоконференции клиентов с минимальной пропускной способностью канала 64 кбит/с.



  1. Главная ссылка к новости (http://mail-archives.apache.or...)
  2. OpenNews: Доступен сервер web-конференций Apache OpenMeetings 3.2.0
  3. OpenNews: Доступен сервер видеоконференций Apache OpenMeetings 2.2.0
  4. OpenNews: Релиз открытого сервера видеоконференций Openmeetings 1.9.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: apache, openmeeting
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, A.Stahl, 08:57, 14/07/2017 [ответить] [смотреть все]
  • +5 +/
    Удивительный скриншот. Совершенно жуткая мешанина полей и пиктограмм.
     
     
  • 2.3, Аноним, 09:13, 14/07/2017 [^] [ответить] [смотреть все]
  • +/
    Мань, это телекоммуникация, а не айфон, видом своих кишков она тебя в кащенко от... весь текст скрыт [показать]
     
     
  • 3.11, RudW0lf, 13:17, 15/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    А это и не кишки не разу - как 10 лет назад было уг так сейчас им и осталось. Им надо переработать бекэнд, или викинуть Red5 и заменить его чем то более вменяемым. Хоть asterisk каким нибудь.
     
     
  • 4.16, che, 14:56, 19/07/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > А это и не кишки не разу - как 10 лет назад
    > было уг так сейчас им и осталось. Им надо переработать бекэнд,
    > или викинуть Red5 и заменить его чем то более вменяемым. Хоть
    > asterisk каким нибудь.

    да херли, CCM прикрутить и пожинать плоды. Вы вообще адекватно представляете себе разработку с нуля бэкенда под ВКС?

     
  • 1.2, Catwoolfii, 09:08, 14/07/2017 [ответить] [смотреть все]  
  • +/
    Кто-нибудь знает как его заставить по https? Пробовал по инструкциив в него впиндюрить ssl сертификат, https так и не взлетел (в конфигах тоже все перебирал)...
     
     
  • 2.4, Аноним, 09:14, 14/07/2017 [^] [ответить] [смотреть все]  
  • +/
    логи показал бы, если не смог по ним погуглить... весь текст скрыт [показать]
     
  • 2.8, Аноним, 11:23, 14/07/2017 [^] [ответить] [смотреть все]  
  • +/
    УМВР. Давай конкретику, что не работает.
     
  • 2.15, che, 14:54, 19/07/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    а нгинкс на что? запускаешь от юзера на непрориоитетном порту, дальше настраиваешь нгинкс в роли кэша. эта связка сработает практически везде
     
  • 1.5, Аноним, 09:28, 14/07/2017 [ответить] [смотреть все]  
  • +1 +/
    OpenLaslo is no longer supported If you are still using OpenLaszlo and you ... весь текст скрыт [показать]
     
  • 1.6, Аноним, 09:57, 14/07/2017 [ответить] [смотреть все]  
  • +1 +/
    Ну и где аналитеги, вопящие про то, что чтобы не было уязвимостей, надо писать н... весь текст скрыт [показать]
     
  • 1.7, Аноним, 10:06, 14/07/2017 [ответить] [смотреть все]  
  • +/
    Убогая вещь. Сейчас тестирую mind.
     
     
  • 2.9, Аноним, 11:26, 14/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Проприетарщина. Не интересно.
     
  • 1.10, Аноним, 16:33, 14/07/2017 [ответить] [смотреть все]  
  • +1 +/
    bbb посмотрите
     
  • 1.12, IdeaFix, 21:46, 15/07/2017 [ответить] [смотреть все]  
  • +/
    А клиента под ведро до сих пор нет? А там до сих пор адобе флеш?
     
     
  • 2.13, Catwoolfii, 22:46, 15/07/2017 [^] [ответить] [смотреть все]  
  • +/
    ага
     
  • 2.14, dds, 02:48, 16/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Ечть поддержка html5 без видео. В хроме работает с гарнитурой с Android
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList