Προχθές μου ήρθε email από το κέντρο, που τρέχω σε raspberry pi, ενημερώνοντας με ότι υπάρχει μια σημαντική ενημέρωση του freepbx διαθέσιμη. Μπήκα στο wui και είδα ότι ήταν security update. Στην σελίδα του freepbx είδα ότι το update είναι για όλες τις εκδόσεις κατώι του 2,12 και όσοι έχουν αναβαθμίσει σε 2,12 χωρίς να αφαιρέσουν το παλιό ari module.

Το update διορθώνει το παρακάτω exploit που ανακαλύφθηκε.
This exploit allows users to bypass authentication and gain full “Administrator” access to the FreePBX server when the ARI module is present, which may then be used to grant the attacker full remote code execution access as the user running the Apache process.
Έτσι συνιστάτε σε όλους που τρέχουν asterisk με gui βασισμένο στο freepbx να το εγκαταστήσουν.
Προσοχή θέλει στους χρήστες που έχουν εγκαταστήσει elastix και έχουν freepbx έκδοση 2,8, λόγου ότι θα πρέπει να αναβαθμίσουν σε έκδοση μεγαλύτερη ή ίσιο με 2,9 για να εφαρμοστεί το update.

Versions 2.8 and prior can be easily updated to 2.9 or higher through Module Admin which will remove the vulnerability.