Se informa a todos los usuarios de Elastix 1.5 y 1.6, que se ha descubierto un mecanismo que posibilitaría a usuarios remotos escribir archivos en el disco duro del servidor a través de FreePBX.
El mecanismo consiste en la combinación de dos tretas diferentes. La primera permite acceso de administrador a la interfaz de FreePBX "no embebido" y la segunda permite la escritura en el sistema de archivos a través de la interfaz Web de FreePBX "no embebido". La primera treta fue ya solucionada a finales de 2010. La solución de la segunda se está lanzando junto con la publicación del presente aviso y los detalles se encuentran disponibles en el siguiente link:
http://elx.ec/secalert052011
Estos dos problemas de seguridad no se encuentran presentes en Elastix 2.0 y versiones superiores.
La actualización que corrije los problemas antes mencionados está disponible en el repositorio de actualizaciones de Elastix y se puede actualizar desde la consola ejecutando el comando "yum update freePBX" o desde la interfaz Web de actualizaciones que posee Elastix. Los usuarios de Elastix 2.0 no necesitan hacer esta actualización.
Se recuerda también a los usuarios que bajo ningún motivo se recomienda actualizar FreePBX desde la interfaz "no embebida", la manera correcta es a través de los paquetes RPM que posee Elastix. Actualizar FreePBX desde la interfaz "no embebida" puede sobreescribir cambios importantes en los paquetes RPMs distribuidos con Elastix
Fuente: Blog Elastix.org
No hay comentarios.:
Publicar un comentario