Аккуратней с лечилкой - обнуляет как минимум extensions_custom.conf
SolarW ( 2014-10-18 03:56:53 +0400 )редактироватьПросто оставлю здесь для тех кто еще не в курсе.
Не так давно начались взломы FreePBX и «слив» трафика через поломанную систему. Вчера FreePBX team нашли zero day уязвимость, позволяющему любому выполнить произвольный код в системе без аутентификации. Номер CVE еще не присвоен.
Уязвимость активно эксплуатируется: на систему заливаются файлы c.sh и c2.pl, которые генерируют большое количество call-файлов на специальные подставные дорогие направления, после чего asterisk туда направляет все эти звонки на все доступные деньги. Естественно, злоумышленники могут не ограничиться этим и попасть к вам в сеть или еще куда-то.
Для исправления уязвимости необходимо выполнить команды:
http://wiki.freepbx.org/display/L1/FreePBX+Security+Scan - лечилка для тех кого поломали
Аккуратней с лечилкой - обнуляет как минимум extensions_custom.conf
SolarW ( 2014-10-18 03:56:53 +0400 )редактироватьНапоминает анекдот:
-- Да у вас такие дыры в бюджете!
-- Это не дыры, это технологические отверстия!
В общем конечно дырявость FreePBX зашкаливает и ничего с этим не сделать. Только переписать заново.
:)
Есть ещё один:
Задан: 2014-10-02 18:40:29 +0400
Просмотрен: 625 раз
Обновлен: Oct 14 '14
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.
это уже 4я? или 10я? уязвимость ari. нефиг ее вообще открывать.
meral ( 2014-10-02 21:14:30 +0400 )редактироватьнефиг выставлять веб интерфейс в интернет
awsswa ( 2014-10-03 07:24:18 +0400 )редактировать