Выпуск сервера web-конференций Apache OpenMeetings 3.3 с устранением 11 уязвимостей

Организация Apache Software Foundation представила выпуск сервера web-конференций Apache OpenMeetings 3.3.0, который примечателен устранением 11 уязвимостей, пяти из которых присвоен высокий уровень опасности. Всем пользователям продукта рекомендуется срочно установить обновление.

В частности устранена уязвимость, позволяющая совершить подстановку SQL-кода аутентифицированным пользователем (CVE-2017–7681), осущестивить вставку JavaScript-кода в чат (CVE-2017–7663), провести CSRF- и XSS-атаки (CVE-2017–7666). Система аутентификации оказалась незащищена от перебора паролей и ботов (отсутствует капча), пароли хранились с использованием ненадёжных криптографических методов (CVE-2017–7673). Отсутствовала проверка загружаемых документов XML (CVE-2017–7664).

Из не связанных с безопасностью изменений можно отметить поддержку импорта/экспорта событий календаря-планировщика при помощи протоколов ical и caldav, поддержку загрузки видеофайлов на сервер, возможность сохранения резервных копий в формате zip, расширенные возможности переноса файлов в корзину в режиме drag&drop, средства для настройки звуковых уведомлений, возможность скрытия элементов в виртуальном конференц-зале. Решены проблемы с отображением интерфейса, например, перекрытием окон в IE и неверным порядном следования записей в чате.

Напомним, что Apache OpenMeetings в первую очередь нацелен на организацию видео- и аудиоконференций, проводимых через Web. Поддерживаются как проведение вебинаров с одним выступающим докладчиком, так и конференций с произвольным числом одновременно взаимодействующих между собой участников. Дополнительно предоставляются средства для интеграции с календарём-планировщиком, отправки индивидуальных или широковещательных уведомлений и приглашений, совместного доступа к файлам и документам, поддержания адресной книги участников, ведения протокола мероприятия, совместного планирования выполнения задач, трансляции вывода запускаемых приложений (демонстрация скринкастов), проведения голосований и опросов.

Один сервер может обслуживать произвольное число конференций, проводимых в отдельных виртуальных конференц-залах и включающих свой набор участников. Сервер поддерживает гибкие инструменты управления полномочиями и мощную систему модерирования конференций. Управление и взаимодействие участников производится через web-интерфейс. Код OpenMeetings написан на языке Java. Интерактивный web-интерфейс построен с использованием фреймворка OpenLaszlo. В качестве СУБД могут использоваться MySQL и PostgreSQL. Для организации вещания используется потоковый сервер Red5, который позволяет обеспечить возможность участия в видеоконференции клиентов с минимальной пропускной способностью канала 64 кбит/с.

0_1487832177.png

© OpenNet