電訊茶室 » VoIP 研究室 » Elastix » Elastix 發現重大漏洞

alang 發表於 2013-2-6 10:16

Elastix 發現重大漏洞

今天有客戶回報在 Elastix 2.2 發現有嚴重的漏洞，這漏洞將使遠端攻擊者可以任意讀取系統內的所有檔案，經我細查後，連 Elastix 2.0 版本也會有此風險，所以強烈建議所有學員，如果你正在使用這兩個版本，並且有開放 Web 瀏覽權限，你的系統已經曝露在危險的階段，如果有人不相信，請提供你的 Elastix 網站位址，我將輕易就能竊取幾組密碼，例如資料庫、AMI等。

因應方式:
- 設定系統不同的密碼時，不要共用同一組
- 立即升級至 Elastix 2.3 可修復這個漏洞 (如果系統是 production 請自行評估升級的風險)
- 不要開放公眾網路存取 Elastix 網站，可透過各種方式作限制
- 詳細閱讀 OSSLab 文章 [url]http://goo.gl/8AHsh[/url]

G+ 訊息: [url]https://plus.google.com/111689628453141334496/posts/6WMbptkx6iw[/url]

lttliang 發表於 2013-2-6 10:53

幸好我是用elastix2.3

hklkf 發表於 2013-2-6 11:35

lttliang兄你的d525是用什麼牌子?我想起voip server 用400p卡

lttliang 發表於 2013-2-6 17:54

[quote]lttliang兄你的d525是用什麼牌子?我想起voip server 用400p卡
[size=2][color=#999999]hklkf 發表於 2013-2-6 11:35[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=30438&ptid=5265][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]


    技嘉，现在细主板那么多，你可以随便选个低耗更低的主板，如果你对elastix的操作比较熟悉就可以用卡，如果不熟就还是用网关，用卡的话就要选好一点的

浮雲1965 發表於 2013-3-1 14:35

[i=s] 本帖最後由 浮雲1965 於 2013-3-1 14:36 編輯 [/i]

請問 Elastix 2.3, 可以註冊ET263嗎？

以下是我的Elastix, 請問是哪個版本的呢？
Elastix
            elastix          2.0.0          57
            elastix-firstboot          2.0.0          14
            elastix-email_admin          2.0.0          23
            elastix-system          2.0.0          38
            elastix-pbx          2.2.0          22
            elastix-red5          1.0.0          1.rc1.svn4199
            elastix-reports          2.2.0          10
            elastix-asterisk-sounds          1.2.3          1
            elastix-vtigercrm          5.1.0          8
            elastix-agenda          2.0.0          24
            elastix-fax          2.0.0          18
            elastix-reports          2.0.0          20
            elastix-firstboot          2.2.0          9
            elastix-my_extension          2.2.0          6
            elastix-system          2.2.0          17
            elastix-a2billing          1.9.4          1
            elastix-agenda          2.2.0          8
            elastix-vtigercrm          5.2.1          5
            elastix-conferenceroom          2.2.0          2
            elastix-a2billing          1.3.0          4
            elastix-addons          2.0.0          19
            elastix-pbx          2.0.0          40
            elastix-framework          2.2.0          25
            elastix-fax          2.2.0          6
            elastix-email_admin          2.2.0          11
            elastix-addons          2.2.0          9

我的web瀏覽， 是用linux的iptable 對訪問ip限制了， 請問這樣安全了嗎？

浮雲1965 發表於 2013-3-4 19:36

[quote]今天有客戶回報在 Elastix 2.2 發現有嚴重的漏洞，這漏洞將使遠端攻擊者可以任意讀取系統內的所有檔案，經 ...
[size=2][color=#999999]alang 發表於 2013-2-6 10:16[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=30435&ptid=5265][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]


    請問我的elastix有風險嗎？

alang 發表於 2013-3-5 10:37

你的系統應該不是 2.3，所以應該是存在有風險。

lttliang 發表於 2013-3-5 11:03

[quote]請問 Elastix 2.3, 可以註冊ET263嗎？

以下是我的Elastix, 請問是哪個版本的呢？
Elastix
            elastix           ...
[size=2][color=#999999]浮雲1965 發表於 2013-3-1 14:35[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=31049&ptid=5265][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]


    注册不了ET263,Elastix2.3使用的上asterisk 1.8版，Elastix2.4也是用的asterisk1.8版，Elastix2.03就可以注册ET263

角色 發表於 2013-3-5 13:22

[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=31144&ptid=5265]8#[/url] [i]lttliang[/i] [/b]

Standard的Asterisk 1.8,1.4后期的source code都不能注册ET263，要改source code才可以。

浮雲1965 發表於 2013-3-6 12:56

我的應該是Asterisk 1.6的， 之前有試過升級到Asterisk 1.8, 註冊不了ET263. 如果我不升級到Asterisk 1.8, 如何避免這個漏洞風險呢？ET263對我很重要呢。雖然我也在試另一家 [url]www.sip3g.net[/url] , 但初步試驗他的話質沒ET263好，並且充值也不方便。沒有網銀支付，要到淘寶上的店買卡，再到網頁上充。
另外，如果真的要升到Asterisk 1.8了， 角色兄， 該如何改source code才能註冊ET263呢？

謝謝！

alang 發表於 2013-3-6 13:19

這個漏洞是存在於 Elastix 的所屬模組 VtigerCRM 內，如果不想升級，可以移除該模組，並確定所屬模組的所有檔案均已不存在。

由於 Elastix 是由 RPM 所安裝，如果要修改 Asterisk 的 source code 其過程相當複雜，假使不理會這些過程，直接在編譯後強制覆蓋所有檔案，這可能會導致 Elastix 出現異常。

角色 發表於 2013-3-6 23:34

[b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=31159&ptid=5265]10#[/url] [i]浮雲1965[/i] [/b]

请看下面帖子。

[url]http://www.telecom-cafe.com/forum/viewthread.php?tid=4110&highlight=et263[/url]

浮雲1965 發表於 2013-3-8 15:45

[i=s] 本帖最後由 浮雲1965 於 2013-3-8 15:46 編輯 [/i]

[quote]這個漏洞是存在於 Elastix 的所屬模組 VtigerCRM 內，如果不想升級，可以移除該模組，並確定所屬模組的所有 ...
[size=2][color=#999999]alang 發表於 2013-3-6 13:19[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=31162&ptid=5265][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]

Hi， Alang兄，
小弟的Elastix沒有使用這個VtigerCRM， 請問如何移除掉？

謝謝！

alang 發表於 2013-3-13 13:52

cd /var/www/html
mv vtigercrm disabled_vtigercrm_je38jh7dkes9jejjhfolw98d34

最好方式還是關閉 Web 的公眾網路的存取

浮雲1965 發表於 2013-3-13 16:03

[i=s] 本帖最後由 浮雲1965 於 2013-3-13 16:05 編輯 [/i]

[quote]cd /var/www/html
mv vtigercrm disabled_vtigercrm_je38jh7dkes9jejjhfolw98d34

最好方式還是關閉 Web 的 ...
[size=2][color=#999999]alang 發表於 2013-3-13 13:52[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=31439&ptid=5265][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]


    你是說將Elastix的公網web關閉嗎？我已在Elastix的iptable內限制了ip, 只開放特定的公網ip可以經443端口進入，另外就是Elastix各分機要註冊的port是沒有設iptable的，其他的port均封掉了，這樣可以了嗎？

alang 發表於 2013-3-15 11:23

你只要確定外部其他的 IP 無法存取 80 與 443 就可以了。

至於 SIP port 就用 fail2ban 來防護

查看完整版本: Elastix 發現重大漏洞