Se informa a todos los usuarios de Elastix 1.5 y 1.6, que se ha descubierto un mecanismo que posibilitaría a usuarios remotos escribir archivos en el disco duro del servidor a través de FreePBX.
El mecanismo consiste en la combinación de dos tretas diferentes. La primera permite acceso de administrador a la interfaz de FreePBX "no embebido" y la segunda permite la escritura en el sistema de archivos a través de la interfaz Web de FreePBX "no embebido". La primera treta fue ya solucionada a finales de 2010. La solución de la segunda se está lanzando junto con la publicación del presente aviso y los detalles se encuentran disponibles en el siguiente link:
http://elx.ec/secalert052011
Estos dos problemas de seguridad no se encuentran presentes en Elastix 2.0 y versiones superiores.
La actualización que corrije los problemas antes mencionados está disponible en el repositorio de actualizaciones de Elastix y se puede actualizar desde la consola ejecutando el comando "yum update freePBX" o desde la interfaz Web de actualizaciones que posee Elastix. Los usuarios de Elastix 2.0 no necesitan hacer esta actualización.
Se recuerda también a los usuarios que bajo ningún motivo se recomienda actualizar FreePBX desde la interfaz "no embebida", la manera correcta es a través de los paquetes RPM que posee Elastix. Actualizar FreePBX desde la interfaz "no embebida" puede sobreescribir cambios importantes en los paquetes RPMs distribuidos con Elastix.
Atentamente
Comentarios
Publicar un comentario