當Jabber無法呈現Chatbot內容時進行故障排除

簡介

本檔案介紹如何在Jabber程式碼修改後疑難排解Cisco Jabber在Chatbot內容渲染方面的問題。

背景資訊

Jabber客戶端能夠包括Cisco Jabber Bot，後者使用軟體開發工具包(SDK)開發，該工具包提供了在Cisco Instant Messaging and Presence(IM&P)消息平台或Cisco Webex Messenger Server上實施互動式對話機器人的框架和工具包。某些超文本標籤語言(HTML)標籤可以配置為獲取基本的Jabber Bot。

如果Jabber版本為12.9.4或更低版本，chatbot將如圖所示，並且Jabber能夠顯示字型代碼中描述的所有按鈕和選項。

必要條件

需求

思科建議您瞭解這些主題。

• Cisco Jabber
• Cisco Jabber Bot SDK

採用元件

本文件中的資訊是以下列軟體和硬體版本為依據.

• Jabber 12.9.X版
• Jabber 14.X版

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

問題 

如果Jabber客戶端版本為12.9.5、14.0或更高版本，由於2022年3月發佈的漏洞(CVE-2020-3155),Jabber現在無法在聊天機器人顯示客戶端介面中的HTML內容時呈現其內容。

該功能使Jabber易受中間人(MITM)技術的攻擊，從而攔截受影響的客戶端與終端之間的流量，然後使用偽造的證書模擬終端。利用漏洞可讓攻擊者檢視其上共用的演示內容、修改受害者呈現的任何內容，或訪問呼叫控制。這取決於端點的配置。

由於存在此漏洞，開發者引入了一個安全規則，允許在HTML代碼標籤中為Jabber新增多個元素來形成chatbot。

在漏洞出現之前，沒有對bot消息進行安全檢查，但在上次漏洞安全更改後，現在新的安全機制會檢查bot消息。

安全規則由下一個允許的標籤和樣式屬性組成。

允許的標籤。

{"span", "font", "a", "br", "strong", "em", "u","div", "table", "tbody", "tr", "td", "h1", "h2", "h3", 
"h4", "h5", "h6", "b", "p","i", "blockquote", "ol", "li", "ul", "pre", "code"} 

允許的樣式屬性。

{"font", "text-decoration", "color", "font-weight", "font-size", "font-family", "font-style"}

不允許的標籤。

{“label”, “button”, “select”, “form”} 

解決方案

如果Cisco Jabber bot宣告包含上述部分或全部不允許的標籤，則解決方案包括從HTML代碼中清除這些標籤。但是，如果Bot需要這些金鑰才能正常工作，則需要配置金鑰。

要同時避免任何漏洞，可以使用使用所提及的樣式屬性和允許標籤建立的傳統聊天機器人。 

從Jabber安全修復程式中，無法接受允許清單之外的所有其他字型樣式或屬性。因此，您只能更改chatbot中的屬性以包括那些屬性。

如果您仍需要正常使用chatbot，這意味著使用不允許的標籤時，存在一個HTML呈現選項配置金鑰，該金鑰可以新增到jabber-config.xml檔案（Jabber配置檔案）中。

• hardening_xmpp_bot：將其設定為「FALSE」，如示例行所示。

示例: <hardening_xmpp_bot>FALSE</hardening_xmpp_bot>

驗證

目前沒有適用於此組態的驗證程序。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊