FreePBX脆弱性対策のソースを表示
←
FreePBX脆弱性対策
ナビゲーションに移動
検索に移動
あなたには「このページの編集」を行う権限がありません。理由は以下の通りです:
この操作は、次のグループのいずれかに属する利用者のみが実行できます:
登録利用者
、
管理者
。
このページのソースの閲覧やコピーができます。
[[カテゴリ:セキュリティ]] [[カテゴリ:FreePBX]] bashの脆弱性の関係でFreePBXでも同様の脆弱性が発生します。この対策方法についてFreePBXコミュニティおよびShcmooze Inc.より対策方法が公開されています。 ==対象== FreePBX バージョン2.11以下すべてと、バージョン2.11からアップデートした2.12でARIシステムが残っているFreePBXが対象となります。 ※FreePBXを採用した各派生バージョンについては各開発元にお問い合わせ下さい ※Asteriskのみをインストールされており、FreePBXを導入されていない場合は該当しません ==影響範囲== この脆弱性を使用された場合、結果として遠隔の第三者によって任意のコードを実行される可能性があります。 具体的には、ARIモジュールがサーバーにインストールされている場合、リモートから認証をバイパスしapacheプロセスを乗っ取り、サーバーに侵入、任意のコードを実行される可能性があります。<br> ※ARIモジュール(現バージョンであるFreePBX2.11を含む、過去の全バージョンに標準でインストールされ、内線毎に個別の管理ページがWEB上に提供されるマイページ機能 ==参照先== 本脆弱性の詳細は、以下の URL を参照してください。 *bash の脆弱性対策について(CVE-2014-6271 等) :https://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html *FreePBX/Schmooze Com, Inc Alert[CVE: 2014-7235] 2014-09-30 :2014年9月30日(日本時間10月1日) FreePBX セキュリティ情報 (緊急) に関する注意喚起 :http://www.freepbx.org/node/92822 :http://blog.schmoozecom.com/ ==対処方法== :対象となるFreePBXバージョンをご利用中の方 1) FreePBX GUI上のモジュール管理画面から、FreePBX ARI Framework、並びにFreePBX Frameworkのモジュールを最新版にアップデートする<br> 2) 該当のFreePBXが稼働しているサーバーにログインし、System Admin Dashboard (sysadmindashboard)という不正モジュールがインストールされていないかどうかを確認する<br> '''注意:システムによってインストール先のパスが異なる場合があります'''<br> インストールされている可能性の有る箇所の一例 /var/www/admin /var/www/html/admin /var/www/html/ ※FreePBX Distro(インストールイメージからの導入)の場合 3) 不正モジュールが見つかった場合、以下のコマンドを実行し、削除する<br> # rm -rf [FreePBXルートパス]/admin/modules/admindashboard # amportal a ma delete admindashboard 4) 続いて、c2.pl 及び c.sh というファイルを探し、見つかった場合、削除する<br> 検索方法: # updatedb # locate c2.pl # locate c.sh 削除方法: # rm -rf [該当プログラムを発見したパス]/c2.pl # rm -rf [該当プログラムを発見したパス]/c.sh 5) FreePBXに管理者権限を持った不正なユーザー(Administrator)が追加されていないかどうかを確認し、見つかった場合、該当するユーザーを削除する<br> FreePBX GUI上の Admin>Administratorsモジュールを選択し、登録済みのユーザー一覧を確認します<br> ※FreePBXは初期状態では管理者として、通常maintユーザーが登録されています<br>
FreePBX脆弱性対策
に戻る。
ナビゲーション メニュー
個人用ツール
ログイン
名前空間
ページ
議論
日本語
表示
閲覧
ソースを閲覧
履歴表示
その他
検索
案内
メインページ
最近の更新
おまかせ表示
ヘルプ
広告
サイトコンテンツ
コミュニティ
Asterisk
Asterisk 18
Asterisk 20
Asterisk 22
IP電話機
購入情報
導入事例
回線接続
ベンダー
ひかり電話
セキュリティ
イベント情報
スペシャル
Asterisk pjsip
ABS
黒電話 ハック
ツール
リンク元
関連ページの更新状況
特別ページ
ページ情報