Организация Apache Software Foundation представила (http://mail-archives.apache.org/mod_mbox/www-announce/201707...) выпуск сервера web-конференций Apache OpenMeetings 3.3.0 (http://openmeetings.apache.org/), который примечателен устранением 11 уязвимостей, пяти из которых присвоен высокий уровень опасности. Всем пользователям продукта рекомендуется срочно установить обновление.
В частности устранена уязвимость, позволяющая совершить подстановку SQL-кода аутентифицированным пользователем (CVE-2017-7681 (http://openwall.com/lists/oss-security/2017/07/13/10)), осущестивить вставку JavaScript-кода в чат (CVE-2017-7663 (http://openwall.com/lists/oss-security/2017/07/13/6)), провести CSRF- и XSS-атаки (CVE-2017-7666 (http://openwall.com/lists/oss-security/2017/07/13/7)). Система аутентификации оказалась незащищена от перебора паролей и ботов (отсутствует капча), пароли хранились с использованием ненадёжных криптографических методов (CVE-2017-7673 (http://openwall.com/lists/oss-security/2017/07/13/8)). Отсутствовала проверка загружаемых документов XML (CVE-2017-7664 (http://openwall.com/lists/oss-security/2017/07/13/17)).
Из не связанных с безопасностью изменений можно отметить поддержку импорта/экспорта событий календаря-планировщика при помощи протоколов ical и caldav, поддержку загрузки видеофайлов на сервер, возможность сохранения резервных копий в формате zip, расширенные возможности переноса файлов в корзину в режиме drag&drop, средства для настройки звуковых уведомлений, возможность скрытия элементов в виртуальном конференц-зале. Решены проблемы с отображением интерфейса, например, перекрытием окон в IE и неверным порядном следования записей в чате.
Напомним, что Apache OpenMeetings в первую очередь нацелен на организацию видео- и аудиоконференций, проводимых через Web. Поддерживаются как проведение вебинаров с одним выступающим докладчиком, так и конференций с произвольным числом одновременно взаимодействующих между собой участников. Дополнительно предоставляются средства для интеграции с календарём-планировщиком, отправки индивидуальных или широковещательных уведомлений и приглашений, совместного доступа к файлам и документам, поддержания адресной книги участников, ведения протокола мероприятия, совместного планирования выполнения задач, трансляции вывода запускаемых приложений (демонстрация скринкастов), проведения голосований и опросов.
Один сервер может обслуживать произвольное число конференций, проводимых в отдельных виртуальных конференц-залах и включающих свой набор участников. Сервер поддерживает гибкие инструменты управления полномочиями и мощную систему модерирования конференций. Управление и взаимодействие участников производится через web-интерфейс. Код OpenMeetings написан на языке Java. Интерактивный web-интерфейс построен с использованием фреймворка OpenLaszlo (http://www.openlaszlo.org/). В качестве СУБД могут использоваться MySQL и PostgreSQL. Для организации вещания используется потоковый сервер Red5 (http://www.red5.org/), который позволяет обеспечить возможность участия в видеоконференции клиентов с минимальной пропускной способностью канала 64 кбит/с.
URL: http://mail-archives.apache.org/mod_mbox/www-announce/201707...
Новость: https://www.opennet.ru/opennews/art.shtml?num=46849