返回列表 發帖

Elastix 發現重大漏洞

今天有客戶回報在 Elastix 2.2 發現有嚴重的漏洞,這漏洞將使遠端攻擊者可以任意讀取系統內的所有檔案,經我細查後,連 Elastix 2.0 版本也會有此風險,所以強烈建議所有學員,如果你正在使用這兩個版本,並且有開放 Web 瀏覽權限,你的系統已經曝露在危險的階段,如果有人不相信,請提供你的 Elastix 網站位址,我將輕易就能竊取幾組密碼,例如資料庫、AMI等。

因應方式:
- 設定系統不同的密碼時,不要共用同一組
- 立即升級至 Elastix 2.3 可修復這個漏洞 (如果系統是 production 請自行評估升級的風險)
- 不要開放公眾網路存取 Elastix 網站,可透過各種方式作限制
- 詳細閱讀 OSSLab 文章 http://goo.gl/8AHsh

G+ 訊息: https://plus.google.com/111689628453141334496/posts/6WMbptkx6iw
OSSLab Blog :: VoIP & IT Consultant

你只要確定外部其他的 IP 無法存取 80 與 443 就可以了。

至於 SIP port 就用 fail2ban 來防護
OSSLab Blog :: VoIP & IT Consultant

TOP

本帖最後由 浮雲1965 於 2013-3-13 16:05 編輯
cd /var/www/html
mv vtigercrm disabled_vtigercrm_je38jh7dkes9jejjhfolw98d34

最好方式還是關閉 Web 的 ...
alang 發表於 2013-3-13 13:52



    你是說將Elastix的公網web關閉嗎?我已在Elastix的iptable內限制了ip, 只開放特定的公網ip可以經443端口進入,另外就是Elastix各分機要註冊的port是沒有設iptable的,其他的port均封掉了,這樣可以了嗎?

TOP

cd /var/www/html
mv vtigercrm disabled_vtigercrm_je38jh7dkes9jejjhfolw98d34

最好方式還是關閉 Web 的公眾網路的存取
OSSLab Blog :: VoIP & IT Consultant

TOP

本帖最後由 浮雲1965 於 2013-3-8 15:46 編輯
這個漏洞是存在於 Elastix 的所屬模組 VtigerCRM 內,如果不想升級,可以移除該模組,並確定所屬模組的所有 ...
alang 發表於 2013-3-6 13:19


Hi, Alang兄,
小弟的Elastix沒有使用這個VtigerCRM, 請問如何移除掉?

謝謝!

TOP

回復 10# 浮雲1965

请看下面帖子。

http://www.telecom-cafe.com/foru ... amp;highlight=et263

TOP

這個漏洞是存在於 Elastix 的所屬模組 VtigerCRM 內,如果不想升級,可以移除該模組,並確定所屬模組的所有檔案均已不存在。

由於 Elastix 是由 RPM 所安裝,如果要修改 Asterisk 的 source code 其過程相當複雜,假使不理會這些過程,直接在編譯後強制覆蓋所有檔案,這可能會導致 Elastix 出現異常。
OSSLab Blog :: VoIP & IT Consultant

TOP

我的應該是Asterisk 1.6的, 之前有試過升級到Asterisk 1.8, 註冊不了ET263. 如果我不升級到Asterisk 1.8, 如何避免這個漏洞風險呢?ET263對我很重要呢。雖然我也在試另一家 www.sip3g.net , 但初步試驗他的話質沒ET263好,並且充值也不方便。沒有網銀支付,要到淘寶上的店買卡,再到網頁上充。
另外,如果真的要升到Asterisk 1.8了, 角色兄, 該如何改source code才能註冊ET263呢?

謝謝!

TOP

回復 8# lttliang

Standard的Asterisk 1.8,1.4后期的source code都不能注册ET263,要改source code才可以。

TOP

請問 Elastix 2.3, 可以註冊ET263嗎?

以下是我的Elastix, 請問是哪個版本的呢?
Elastix
            elastix           ...
浮雲1965 發表於 2013-3-1 14:35



    注册不了ET263,Elastix2.3使用的上asterisk 1.8版,Elastix2.4也是用的asterisk1.8版,Elastix2.03就可以注册ET263

TOP

你的系統應該不是 2.3,所以應該是存在有風險。
OSSLab Blog :: VoIP & IT Consultant

TOP

今天有客戶回報在 Elastix 2.2 發現有嚴重的漏洞,這漏洞將使遠端攻擊者可以任意讀取系統內的所有檔案,經 ...
alang 發表於 2013-2-6 10:16



    請問我的elastix有風險嗎?

TOP

本帖最後由 浮雲1965 於 2013-3-1 14:36 編輯

請問 Elastix 2.3, 可以註冊ET263嗎?

以下是我的Elastix, 請問是哪個版本的呢?
Elastix
            elastix          2.0.0          57
            elastix-firstboot          2.0.0          14
            elastix-email_admin          2.0.0          23
            elastix-system          2.0.0          38
            elastix-pbx          2.2.0          22
            elastix-red5          1.0.0          1.rc1.svn4199
            elastix-reports          2.2.0          10
            elastix-asterisk-sounds          1.2.3          1
            elastix-vtigercrm          5.1.0          8
            elastix-agenda          2.0.0          24
            elastix-fax          2.0.0          18
            elastix-reports          2.0.0          20
            elastix-firstboot          2.2.0          9
            elastix-my_extension          2.2.0          6
            elastix-system          2.2.0          17
            elastix-a2billing          1.9.4          1
            elastix-agenda          2.2.0          8
            elastix-vtigercrm          5.2.1          5
            elastix-conferenceroom          2.2.0          2
            elastix-a2billing          1.3.0          4
            elastix-addons          2.0.0          19
            elastix-pbx          2.0.0          40
            elastix-framework          2.2.0          25
            elastix-fax          2.2.0          6
            elastix-email_admin          2.2.0          11
            elastix-addons          2.2.0          9

我的web瀏覽, 是用linux的iptable 對訪問ip限制了, 請問這樣安全了嗎?

TOP

lttliang兄你的d525是用什麼牌子?我想起voip server 用400p卡
hklkf 發表於 2013-2-6 11:35



    技嘉,现在细主板那么多,你可以随便选个低耗更低的主板,如果你对elastix的操作比较熟悉就可以用卡,如果不熟就还是用网关,用卡的话就要选好一点的

TOP

lttliang兄你的d525是用什麼牌子?我想起voip server 用400p卡

TOP

返回列表