今天有客戶回報在 Elastix 2.2 發現有嚴重的漏洞,這漏洞將使遠端攻擊者可以任意讀取系統內的所有檔案,經我細查後,連 Elastix 2.0 版本也會有此風險,所以強烈建議所有學員,如果你正在使用這兩個版本,並且有開放 Web 瀏覽權限,你的系統已經曝露在危險的階段,如果有人不相信,請提供你的 Elastix 網站位址,我將輕易就能竊取幾組密碼,例如資料庫、AMI等。
因應方式:
- 設定系統不同的密碼時,不要共用同一組
- 立即升級至 Elastix 2.3 可修復這個漏洞 (如果系統是 production 請自行評估升級的風險)
- 不要開放公眾網路存取 Elastix 網站,可透過各種方式作限制
- 詳細閱讀 OSSLab 文章 http://goo.gl/8AHsh
G+ 訊息: https://plus.google.com/111689628453141334496/posts/6WMbptkx6iw |
發表於 2013-2-6 10:16
|