漏洞信息详情

Igniterealtime Openfire CallLogDAO SQL注入漏洞

• CNNVD编号：CNNVD-200903-365
• 危害等级： 高危
  
• CVE编号： CVE-2008-6509
• 漏洞类型： SQL注入
• 发布时间： 2008-11-07
• 威胁类型： 远程
• 更新时间： 2009-03-25
• 厂        商： igniterealtime
• 漏洞来源： Andreas Kurtz

漏洞简介

Openfire（前称Wildfire）是IgniteRealtime社区的一款采用Java开发且基于XMPP（前称Jabber，即时通讯协议）的跨平台开源实时协作（RTC）服务器，它能够构建高效率的即时通信服务器，并支持上万并发用户数量。

sipark-log-summary.jsp中的type参数存在跨站脚本漏洞：

String type = ParamUtils.getParameter(request, \"type\");

org.jivesoftware.openfire.sip.calllog.CallLogDAO的getCalls()函数处理这个用户输入(SQLCondition)并创建SQL语句：

String sql = \"SELECT * FROM sipPhoneLog\";

sql = SQLCondition != null ＆＆ !SQLCondition.equals(\"\") ?

sql + \" WHERE \" + SQLCondition ： sql;

sql += \" ORDER BY datetime DESC\";

在411行CallLogDAO的createScrollablePreparedStatement()方式执行这个语句：

return con.prepareStatement(sql);

由于在传送给语句对象之前动态的连接了字符串SQL，这可能导致SQL注入漏洞。

漏洞公告

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.igniterealtime.org/downloads/index.jsp#openfire

参考网址

来源: XF

名称: openfire-siparklogsummary-sql-injection(46487)

链接: http://xforce.iss.net/xforce/xfdb/46487

来源: VUPEN

名称: ADV-2008-3061

链接: http://www.vupen.com/english/advisories/2008/3061

来源: BID

名称: 32189

链接: http://www.securityfocus.com/bid/32189

来源: BUGTRAQ

名称: 20081108 [AK-ADV2008-001] Openfire Jabber-Server: Multiple Vulnerabilities (Authentication Bypass, SQL injection, ...)

链接: http://www.securityfocus.com/archive/1/archive/1/498162/100/0/threaded

来源: MILW0RM

名称: 7075

链接: http://www.milw0rm.com/exploits/7075

来源: www.igniterealtime.org

链接: http://www.igniterealtime.org/issues/browse/JM-1488

来源: MISC

链接: http://www.andreas-kurtz.de/archives/63

来源: MISC

链接: http://www.andreas-kurtz.de/advisories/AKADV2008-001-v1.0.txt

来源: SECUNIA

名称: 32478

链接: http://secunia.com/advisories/32478

来源: OSVDB

名称: 51912

链接: http://osvdb.org/51912

受影响实体

• Igniterealtime Openfire:3.6.0a  
• Igniterealtime Openfire:3.5.2  
• Igniterealtime Openfire:3.6.0  
• Igniterealtime Openfire:3.5.1  
• Igniterealtime Openfire:3.5.0  

补丁

暂无