The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в Apache OpenMeetings, позволяющая получить доступ к любым записям и обсуждениям

13.05.2023 07:42

В сервере для проведения web-конференций Apache OpenMeetings устранена уязвимость (CVE-2023-28936), которая позволяет получить доступ к произвольным записям и комнатам для общения. Проблеме присвоен критический уровень опасности. Уязвимость вызвана некорректной проверкой хэша, используемого для подключения новых участников. Ошибка проявляется начиная с выпуска 2.0.0 и устранена в выпущенном несколько дней назад обновлении Apache OpenMeetings 7.1.0.

Кроме того, в Apache OpenMeetings 7.1.0 устранены ещё две менее опасные уязвимости:

  • CVE-2023-29032 - возможность обойти аутентификацию. Атакующий, знающий определённую конфиденциальную информацию о пользователе, может выдать себя за другого пользователя.
  • CVE-2023-29246 - возможность подстановки символа с нулевым кодом, что можно использовать для выполнения своего кода на сервере при наличии доступа к учётной записи администратора OpenMeetings.


  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Доступен Apache OpenMeetings 6.3, сервер для проведения web-конференций
  3. OpenNews: Выпуск серверов для потокового вещания Roc 0.1, Ant 1.7 и Red5 1.1.1
  4. OpenNews: Уязвимость в Apache httpd, позволяющая обратиться за пределы корневого каталога сайта
  5. OpenNews: 17 проектов Apache оказались затронуты уязвимостью в Log4j 2
  6. OpenNews: Выпуск сервера web-конференций Apache OpenMeetings 3.3 с устранением 11 уязвимостей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59129-openmeetings
Ключевые слова: openmeetings, apache
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (21) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.5, Анонимусс (?), 09:07, 13/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +19 +/
    Ну, все правильно.
    Оно же "Open" meetings, вот любой и может придти послушать.
     
     
  • 2.9, Аноним (9), 10:57, 13/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    +1
    Тоже хотел по самой сути сказать :)
     
     
  • 3.27, Аноним (27), 07:19, 14/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну скажи.
     
     
  • 4.28, Аноним (28), 14:53, 14/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Уже сказал же!
     
     
  • 5.29, Michael Shigorin (ok), 16:03, 14/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Гусары, молчать!
     
  • 2.11, Константавр (ok), 12:43, 13/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Хехе, когда видел рекламу "метавселенной" обратил внимание, что чел ходил везде и проходя мимо других случайных людей мог слушать всё что хочет. И это даже не уязвимость :)))
     

  • 1.7, Аноним (7), 10:34, 13/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    "Ошибка проявляется начиная с выпуска 2.0.0"
    Так это "ошибка", кого надо "ошибка", в первой версии постеснялись "ошибаться", а потом вполне можно, а тут какой-то сердобольный прознал, пришлось закрывать. Ну ничего, код большой, где-нибудь ещё можно "ошибиться".
     
     
  • 2.13, Аноним (13), 13:56, 13/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен, это происки захватчиков из планеты Нибиру.
     
     
  • 3.14, Аноним (-), 14:45, 13/05/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.8, Анонин (?), 10:40, 13/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > Представлен сервер видеоконференций Apache OpenMeetings 2.0
    > https://www.opennet.me/opennews/art.shtml?num=34444
    > 29.07.2012

    2012
    Oh, shi...

     
  • 1.16, Аноним (16), 17:16, 13/05/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру