Inleiding
Dit document beschrijft hoe u problemen met Cisco Jabber kunt oplossen bij het renderen van chatboxinhoud na de wijziging van de Jabber-code.
Achtergrondinformatie
De Jabber-clients hebben de mogelijkheid om de Cisco Jabber Bot op te nemen, ontwikkeld met een Software Development Kit (SDK) die een framework en toolkit biedt om interactieve gespreksbots te implementeren op Cisco Instant Messaging and Presence (IM&P)-berichtplatform of Cisco Webex Messenger Server. Er zijn bepaalde HyperText Markup Language (HTML) tags die kunnen worden geconfigureerd om een basis Jabber bot te krijgen.
Als de Jabber-versie 12.9.4 of eerder is, ziet de chatbot eruit zoals in het beeld, en Jabber heeft de mogelijkheid om alle knoppen en opties die in de lettercode worden beschreven weer te geven.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan.
- Cisco Jabber
- Cisco Jabber Bot SDK
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies.
- Jabber versie 12.9.x.
- Jabber versie 14.x.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Probleem
Als de Jabber client versie 12.9.5, 14.0 of hoger is, vanwege de kwetsbaarheden gepubliceerd in maart 2022 (CVE-2020-3155), is Jabber nu niet in staat om de inhoud van de chatbots te renderen zoals ze de HTML inhoud weergeven in de client interface.
Die functie maakt Jabber kwetsbaar voor aanvallen van mensen in het midden (MITM) technieken om het verkeer tussen de beïnvloede cliënt en een eindpunt te onderscheppen, en dan een vervalst certificaat te gebruiken om het eindpunt na te bootsen. Een exploit zou de aanvaller in staat kunnen stellen om de inhoud van de presentatie te bekijken die op het wordt gedeeld, om het even welke inhoud te wijzigen die door het slachtoffer wordt voorgesteld, of toegang tot vraagcontroles te hebben. Dit is afhankelijk van de configuratie van het eindpunt.
Door deze kwetsbaarheid hebben de ontwikkelaars een beveiligingsregel geïntroduceerd waarmee Jabber in de HTML-code-tags de chatbot kan vormen.
Vóór de kwetsbaarheid, waren er geen veiligheidscontroles voor het beide bericht, maar na de laatste kwetsbaarheids veiligheidsverandering, wordt het beide bericht nu gecontroleerd door de nieuwe veiligheidsmechanismen.
De beveiligingsregel bestaat uit de volgende toegestane tags en stijlenkenmerken.
Tags die zijn toegestaan.
{"span", "font", "a", "br", "strong", "em", "u","div", "table", "tbody", "tr", "td", "h1", "h2", "h3",
"h4", "h5", "h6", "b", "p","i", "blockquote", "ol", "li", "ul", "pre", "code"}
Stijlkenmerken die zijn toegestaan.
{"font", "text-decoration", "color", "font-weight", "font-size", "font-family", "font-style"}
Tags die niet zijn toegestaan.
{“label”, “button”, “select”, “form”}
Oplossing
Als de verklaring van Cisco Jabber bot enkele of alle niet-toegestane tags heeft zoals hierboven vermeld, bestaat de oplossing in het wissen van deze tags uit de HTML-code. Als deze echter nodig zijn om de bot te laten werken, is een configuratiesleutel vereist.
Om elke kwetsbaarheid tegelijkertijd te vermijden, is het mogelijk om de klassieke chatbot gemaakt met de stijl attributen en toegestane tags te gebruiken.
Van de Jabber-beveiligingsfix kunnen alle andere letterstijlen of kenmerken buiten de toegestane lijst niet worden geaccepteerd. Daarom moet u de eigenschappen in de chatbot alleen wijzigen om deze te omvatten.
Als je nog steeds nodig hebt om de chatbot normaal te gebruiken, betekent dit, met de niet toegestane tags, is er een HTML render optie config sleutel die kan worden toegevoegd aan het jabber-config.xml bestand (Jabber configuratie bestand).
- hardening_xmpp_bot: stel het in op "FALSE" zoals in de voorbeeldregel.
Voorbeeld: <hardening_xmpp_bot>FALSE</hardening_xmpp_bot>
Verifiëren
Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.
Problemen oplossen
Er is momenteel geen specifieke informatie over probleemoplossing beschikbaar voor deze configuratie.
Gerelateerde informatie