Elastix 發現重大漏洞
今天有客戶回報在 Elastix 2.2 發現有嚴重的漏洞,這漏洞將使遠端攻擊者可以任意讀取系統內的所有檔案,經我細查後,連 Elastix 2.0 版本也會有此風險,所以強烈建議所有學員,如果你正在使用這兩個版本,並且有開放 Web 瀏覽權限,你的系統已經曝露在危險的階段,如果有人不相信,請提供你的 Elastix 網站位址,我將輕易就能竊取幾組密碼,例如資料庫、AMI等。因應方式:
- 設定系統不同的密碼時,不要共用同一組
- 立即升級至 Elastix 2.3 可修復這個漏洞 (如果系統是 production 請自行評估升級的風險)
- 不要開放公眾網路存取 Elastix 網站,可透過各種方式作限制
- 詳細閱讀 OSSLab 文章 [url]http://goo.gl/8AHsh[/url]
G+ 訊息: [url]https://plus.google.com/111689628453141334496/posts/6WMbptkx6iw[/url] 幸好我是用elastix2.3 lttliang兄你的d525是用什麼牌子?我想起voip server 用400p卡 [quote]lttliang兄你的d525是用什麼牌子?我想起voip server 用400p卡
[size=2][color=#999999]hklkf 發表於 2013-2-6 11:35[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=30438&ptid=5265][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
技嘉,现在细主板那么多,你可以随便选个低耗更低的主板,如果你对elastix的操作比较熟悉就可以用卡,如果不熟就还是用网关,用卡的话就要选好一点的 [i=s] 本帖最後由 浮雲1965 於 2013-3-1 14:36 編輯 [/i]
請問 Elastix 2.3, 可以註冊ET263嗎?
以下是我的Elastix, 請問是哪個版本的呢?
Elastix
elastix 2.0.0 57
elastix-firstboot 2.0.0 14
elastix-email_admin 2.0.0 23
elastix-system 2.0.0 38
elastix-pbx 2.2.0 22
elastix-red5 1.0.0 1.rc1.svn4199
elastix-reports 2.2.0 10
elastix-asterisk-sounds 1.2.3 1
elastix-vtigercrm 5.1.0 8
elastix-agenda 2.0.0 24
elastix-fax 2.0.0 18
elastix-reports 2.0.0 20
elastix-firstboot 2.2.0 9
elastix-my_extension 2.2.0 6
elastix-system 2.2.0 17
elastix-a2billing 1.9.4 1
elastix-agenda 2.2.0 8
elastix-vtigercrm 5.2.1 5
elastix-conferenceroom 2.2.0 2
elastix-a2billing 1.3.0 4
elastix-addons 2.0.0 19
elastix-pbx 2.0.0 40
elastix-framework 2.2.0 25
elastix-fax 2.2.0 6
elastix-email_admin 2.2.0 11
elastix-addons 2.2.0 9
我的web瀏覽, 是用linux的iptable 對訪問ip限制了, 請問這樣安全了嗎? [quote]今天有客戶回報在 Elastix 2.2 發現有嚴重的漏洞,這漏洞將使遠端攻擊者可以任意讀取系統內的所有檔案,經 ...
[size=2][color=#999999]alang 發表於 2013-2-6 10:16[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=30435&ptid=5265][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
請問我的elastix有風險嗎? 你的系統應該不是 2.3,所以應該是存在有風險。 [quote]請問 Elastix 2.3, 可以註冊ET263嗎?
以下是我的Elastix, 請問是哪個版本的呢?
Elastix
elastix ...
[size=2][color=#999999]浮雲1965 發表於 2013-3-1 14:35[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=31049&ptid=5265][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
注册不了ET263,Elastix2.3使用的上asterisk 1.8版,Elastix2.4也是用的asterisk1.8版,Elastix2.03就可以注册ET263 [b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=31144&ptid=5265]8#[/url] [i]lttliang[/i] [/b]
Standard的Asterisk 1.8,1.4后期的source code都不能注册ET263,要改source code才可以。 我的應該是Asterisk 1.6的, 之前有試過升級到Asterisk 1.8, 註冊不了ET263. 如果我不升級到Asterisk 1.8, 如何避免這個漏洞風險呢?ET263對我很重要呢。雖然我也在試另一家 [url]www.sip3g.net[/url] , 但初步試驗他的話質沒ET263好,並且充值也不方便。沒有網銀支付,要到淘寶上的店買卡,再到網頁上充。
另外,如果真的要升到Asterisk 1.8了, 角色兄, 該如何改source code才能註冊ET263呢?
謝謝! 這個漏洞是存在於 Elastix 的所屬模組 VtigerCRM 內,如果不想升級,可以移除該模組,並確定所屬模組的所有檔案均已不存在。
由於 Elastix 是由 RPM 所安裝,如果要修改 Asterisk 的 source code 其過程相當複雜,假使不理會這些過程,直接在編譯後強制覆蓋所有檔案,這可能會導致 Elastix 出現異常。 [b]回復 [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=31159&ptid=5265]10#[/url] [i]浮雲1965[/i] [/b]
请看下面帖子。
[url]http://www.telecom-cafe.com/forum/viewthread.php?tid=4110&highlight=et263[/url] [i=s] 本帖最後由 浮雲1965 於 2013-3-8 15:46 編輯 [/i]
[quote]這個漏洞是存在於 Elastix 的所屬模組 VtigerCRM 內,如果不想升級,可以移除該模組,並確定所屬模組的所有 ...
[size=2][color=#999999]alang 發表於 2013-3-6 13:19[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=31162&ptid=5265][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
Hi, Alang兄,
小弟的Elastix沒有使用這個VtigerCRM, 請問如何移除掉?
謝謝! cd /var/www/html
mv vtigercrm disabled_vtigercrm_je38jh7dkes9jejjhfolw98d34
最好方式還是關閉 Web 的公眾網路的存取 [i=s] 本帖最後由 浮雲1965 於 2013-3-13 16:05 編輯 [/i]
[quote]cd /var/www/html
mv vtigercrm disabled_vtigercrm_je38jh7dkes9jejjhfolw98d34
最好方式還是關閉 Web 的 ...
[size=2][color=#999999]alang 發表於 2013-3-13 13:52[/color] [url=http://www.telecom-cafe.com/forum/redirect.php?goto=findpost&pid=31439&ptid=5265][img]http://www.telecom-cafe.com/forum/images/common/back.gif[/img][/url][/size][/quote]
你是說將Elastix的公網web關閉嗎?我已在Elastix的iptable內限制了ip, 只開放特定的公網ip可以經443端口進入,另外就是Elastix各分機要註冊的port是沒有設iptable的,其他的port均封掉了,這樣可以了嗎? 你只要確定外部其他的 IP 無法存取 80 與 443 就可以了。
至於 SIP port 就用 fail2ban 來防護
頁:
[1]