Asterisk 重大漏洞

    內容表格
    1. 1. Issue #1

    Issue #1

    影響的系統:VtigerCRM 5.1 (包含 Elastix 2.2/2.0)

    漏洞的起因:PHP 檔設計漏洞

    漏洞的危害:
    攻擊者只要瀏覽以下特定網址,就能讀取所有系統檔案的內容。

    https://your.elastix.server/vtigercrm/modules/com_vtiger_workflow/sortfieldsjson.php?module_name=../../../../../../../../etc/amportal.conf%00

    相關連結:

    解決方案:
    Option 1: 升級 Elastix 至 2.3.x

    yum update elastix-vtigercrm
    reboot
    yum update elastix 
    

    Option 2: 使用 Apache 模組 mod_security

    安裝 mod_security

    yum install mod_security
    

    編輯 /etc/httpd/conf.d/mod_security.conf
    加上這一行

    # Fix the security issue of VtigerCRM
    SecRule REQUEST_URI "@rx \/vtigercrm\/(?:[^/]+\/)*|amportal|dahdi_channels|chan_dahdi\.conf$" "severity:alert,id:'0000015',deny,log,status:400,msg:'Unacceptable folder.',severity:'2'"
    
    標籤 (Edit tags)
    • No tags
    您必須 登入 才能發佈評論。
    Powered by MindTouch Core