FreePBX脆弱性対策のソースを表示

[[カテゴリ:セキュリティ]]
[[カテゴリ:FreePBX]]

bashの脆弱性の関係でFreePBXでも同様の脆弱性が発生します。この対策方法についてFreePBXコミュニティおよびShcmooze Inc.より対策方法が公開されています。

==対象==
FreePBX　バージョン2.11以下すべてと、バージョン2.11からアップデートした2.12でARIシステムが残っているFreePBXが対象となります。
※FreePBXを採用した各派生バージョンについては各開発元にお問い合わせ下さい
※Asteriskのみをインストールされており、FreePBXを導入されていない場合は該当しません


==影響範囲==
この脆弱性を使用された場合、結果として遠隔の第三者によって任意のコードを実行される可能性があります。
具体的には、ARIモジュールがサーバーにインストールされている場合、リモートから認証をバイパスしapacheプロセスを乗っ取り、サーバーに侵入、任意のコードを実行される可能性があります。<br>
※ARIモジュール(現バージョンであるFreePBX2.11を含む、過去の全バージョンに標準でインストールされ、内線毎に個別の管理ページがWEB上に提供されるマイページ機能

==参照先==
本脆弱性の詳細は、以下の URL を参照してください。

*bash の脆弱性対策について(CVE-2014-6271 等)
:https://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html

*FreePBX/Schmooze Com, Inc Alert[CVE: 2014-7235] 2014-09-30
:2014年9月30日（日本時間10月1日） FreePBX セキュリティ情報 (緊急) に関する注意喚起

:http://www.freepbx.org/node/92822
:http://blog.schmoozecom.com/

==対処方法==

:対象となるFreePBXバージョンをご利用中の方
1) FreePBX GUI上のモジュール管理画面から、FreePBX ARI Framework、並びにFreePBX Frameworkのモジュールを最新版にアップデートする<br>
2) 該当のFreePBXが稼働しているサーバーにログインし、System Admin Dashboard (sysadmindashboard)という不正モジュールがインストールされていないかどうかを確認する<br>
'''注意：システムによってインストール先のパスが異なる場合があります'''<br>
インストールされている可能性の有る箇所の一例
 /var/www/admin
 /var/www/html/admin
 /var/www/html/　※FreePBX Distro(インストールイメージからの導入)の場合 

3) 不正モジュールが見つかった場合、以下のコマンドを実行し、削除する<br>
 # rm -rf [FreePBXルートパス]/admin/modules/admindashboard
 # amportal a ma delete admindashboard

4) 続いて、c2.pl　及び　c.sh　というファイルを探し、見つかった場合、削除する<br>
検索方法：
 # updatedb
 # locate c2.pl
 # locate c.sh

削除方法：
 # rm -rf [該当プログラムを発見したパス]/c2.pl
 # rm -rf [該当プログラムを発見したパス]/c.sh

5) FreePBXに管理者権限を持った不正なユーザー(Administrator)が追加されていないかどうかを確認し、見つかった場合、該当するユーザーを削除する<br>
FreePBX GUI上の　Admin＞Administratorsモジュールを選択し、登録済みのユーザー一覧を確認します<br>
※FreePBXは初期状態では管理者として、通常maintユーザーが登録されています<br>