電訊茶室 - Powered by Discuz! Board

標題: Elastix 發現重大漏洞 [打印本頁]

作者: alang 時間: 2013-2-6 10:16 標題: Elastix 發現重大漏洞

今天有客戶回報在 Elastix 2.2 發現有嚴重的漏洞，這漏洞將使遠端攻擊者可以任意讀取系統內的所有檔案，經我細查後，連 Elastix 2.0 版本也會有此風險，所以強烈建議所有學員，如果你正在使用這兩個版本，並且有開放 Web 瀏覽權限，你的系統已經曝露在危險的階段，如果有人不相信，請提供你的 Elastix 網站位址，我將輕易就能竊取幾組密碼，例如資料庫、AMI等。

因應方式:
- 設定系統不同的密碼時，不要共用同一組
- 立即升級至 Elastix 2.3 可修復這個漏洞 (如果系統是 production 請自行評估升級的風險)
- 不要開放公眾網路存取 Elastix 網站，可透過各種方式作限制
- 詳細閱讀 OSSLab 文章 http://goo.gl/8AHsh

G+ 訊息: https://plus.google.com/111689628453141334496/posts/6WMbptkx6iw

作者: lttliang 時間: 2013-2-6 10:53

幸好我是用elastix2.3

作者: hklkf 時間: 2013-2-6 11:35

lttliang兄你的d525是用什麼牌子?我想起voip server 用400p卡

作者: lttliang 時間: 2013-2-6 17:54

lttliang兄你的d525是用什麼牌子?我想起voip server 用400p卡
hklkf 發表於 2013-2-6 11:35

技嘉，现在细主板那么多，你可以随便选个低耗更低的主板，如果你对elastix的操作比较熟悉就可以用卡，如果不熟就还是用网关，用卡的话就要选好一点的

作者: 浮雲1965 時間: 2013-3-1 14:35

本帖最後由浮雲1965 於 2013-3-1 14:36 編輯

請問 Elastix 2.3, 可以註冊ET263嗎？

以下是我的Elastix, 請問是哪個版本的呢？
Elastix
       elastix    2.0.0    57
       elastix-firstboot    2.0.0    14
       elastix-email_admin    2.0.0    23
       elastix-system    2.0.0    38
       elastix-pbx    2.2.0    22
       elastix-red5    1.0.0    1.rc1.svn4199
       elastix-reports    2.2.0    10
       elastix-asterisk-sounds    1.2.3    1
       elastix-vtigercrm    5.1.0    8
       elastix-agenda    2.0.0    24
       elastix-fax    2.0.0    18
       elastix-reports    2.0.0    20
       elastix-firstboot    2.2.0    9
       elastix-my_extension    2.2.0    6
       elastix-system    2.2.0    17
       elastix-a2billing    1.9.4    1
       elastix-agenda    2.2.0    8
       elastix-vtigercrm    5.2.1    5
       elastix-conferenceroom    2.2.0    2
       elastix-a2billing    1.3.0    4
       elastix-addons    2.0.0    19
       elastix-pbx    2.0.0    40
       elastix-framework    2.2.0    25
       elastix-fax    2.2.0    6
       elastix-email_admin    2.2.0    11
       elastix-addons    2.2.0    9

我的web瀏覽，是用linux的iptable 對訪問ip限制了，請問這樣安全了嗎？

作者: 浮雲1965 時間: 2013-3-4 19:36

今天有客戶回報在 Elastix 2.2 發現有嚴重的漏洞，這漏洞將使遠端攻擊者可以任意讀取系統內的所有檔案，經 ...
alang 發表於 2013-2-6 10:16

請問我的elastix有風險嗎？

作者: alang 時間: 2013-3-5 10:37

你的系統應該不是 2.3，所以應該是存在有風險。

作者: lttliang 時間: 2013-3-5 11:03

請問 Elastix 2.3, 可以註冊ET263嗎？

以下是我的Elastix, 請問是哪個版本的呢？
Elastix
elastix ...
浮雲1965 發表於 2013-3-1 14:35

注册不了ET263,Elastix2.3使用的上asterisk 1.8版，Elastix2.4也是用的asterisk1.8版，Elastix2.03就可以注册ET263

作者: 角色 時間: 2013-3-5 13:22

回復 8# lttliang

Standard的Asterisk 1.8,1.4后期的source code都不能注册ET263，要改source code才可以。

作者: 浮雲1965 時間: 2013-3-6 12:56

我的應該是Asterisk 1.6的，之前有試過升級到Asterisk 1.8, 註冊不了ET263. 如果我不升級到Asterisk 1.8, 如何避免這個漏洞風險呢？ET263對我很重要呢。雖然我也在試另一家 www.sip3g.net , 但初步試驗他的話質沒ET263好，並且充值也不方便。沒有網銀支付，要到淘寶上的店買卡，再到網頁上充。
另外，如果真的要升到Asterisk 1.8了，角色兄，該如何改source code才能註冊ET263呢？

謝謝！

作者: alang 時間: 2013-3-6 13:19

這個漏洞是存在於 Elastix 的所屬模組 VtigerCRM 內，如果不想升級，可以移除該模組，並確定所屬模組的所有檔案均已不存在。

由於 Elastix 是由 RPM 所安裝，如果要修改 Asterisk 的 source code 其過程相當複雜，假使不理會這些過程，直接在編譯後強制覆蓋所有檔案，這可能會導致 Elastix 出現異常。

作者: 角色 時間: 2013-3-6 23:34

回復 10# 浮雲1965

请看下面帖子。

http://www.telecom-cafe.com/foru ... amp;highlight=et263

作者: 浮雲1965 時間: 2013-3-8 15:45

本帖最後由浮雲1965 於 2013-3-8 15:46 編輯

這個漏洞是存在於 Elastix 的所屬模組 VtigerCRM 內，如果不想升級，可以移除該模組，並確定所屬模組的所有 ...
alang 發表於 2013-3-6 13:19

Hi， Alang兄，
小弟的Elastix沒有使用這個VtigerCRM，請問如何移除掉？

謝謝！

作者: alang 時間: 2013-3-13 13:52

cd /var/www/html
mv vtigercrm disabled_vtigercrm_je38jh7dkes9jejjhfolw98d34

最好方式還是關閉 Web 的公眾網路的存取

作者: 浮雲1965 時間: 2013-3-13 16:03

本帖最後由浮雲1965 於 2013-3-13 16:05 編輯

cd /var/www/html
mv vtigercrm disabled_vtigercrm_je38jh7dkes9jejjhfolw98d34

最好方式還是關閉 Web 的 ...
alang 發表於 2013-3-13 13:52

你是說將Elastix的公網web關閉嗎？我已在Elastix的iptable內限制了ip, 只開放特定的公網ip可以經443端口進入，另外就是Elastix各分機要註冊的port是沒有設iptable的，其他的port均封掉了，這樣可以了嗎？

作者: alang 時間: 2013-3-15 11:23

你只要確定外部其他的 IP 無法存取 80 與 443 就可以了。

至於 SIP port 就用 fail2ban 來防護

歡迎光臨電訊茶室 (http://telecom-cafe.com/forum/)