Enviado por admin el
Hoy ha sido liberada una versión de seguridad de Asterisk para distintas ramas. Las nuevas versiones disponibles son:
- 1.8.28-cert2
- 11.6-cert7
- 1.8.31.1
- 11.13.1
- 12.6.1
- 13.0.0-beta3
Los “huecos” tapados:
- Los módulos res_jabber y res_xmpp utilizan SSLv3 para las conexiones cifradas pues pueden ser vulnerables a POODLE
- El protocolo TLS utilizado por el canal chan_sip, la Asterisk Manager Interface (AMI) y el servidor http interno puede, en algunos casos, recurrir a SSLv3 como protocolo de respaldo, exponiéndose de esa forma a POODLE.
Si no utilizan los módulos mencionados pueden hacer caso omiso sino a actualizar.
Pues eso es todo.
2 comentarios
Es necesario actualizar asterisk y a2billing?
Enviado por Rafael (no verificado) el
un saludo
acabo de instalar asterisk 1.8.31 y a2billing el 15 de octubre
siguiendo el libro versión 3.5
instale en el mismo servidor asterisk y a2billling y la base de datos nada para afuera.
el servidor lo utilizo para clientes que configuran de IP a IP y call center, y tarjetas de llamada, nada mas.
eh aseguado con IPtables y fail2ban como indica el manual.
mi consulta es si tengo que actualizar? asterisk y a2billing para no ser afectado por POODLE
para tapar los huecos
me llego la actualización del libro 3.6,
para no ser afectado por POODLE que tenemos que hacer.
Re: Es necesario actualizar asterisk y a2billing?
Enviado por admin el
Hola Rafael,
el único cambio que te aconsejo es la configuración del servidor Web (Apache) siguiendo la guía presente en el apéndice B del libro.
Ten en cuenta que el soporte para Asterisk 1.8 se va a vencer en un año pues no se "taparán" más huecos.
Es por eso que saqué la ultima versión del libro con Asterisk 11.X
Me comentas.
Saludos