В корректирующих выпусках коммуникационной платформы Asterisk 14.4.1 и 13.15.1 (http://www.asterisk.org/downloads/asterisk/all-asterisk-vers...) устранены (http://www.mail-archive.com/asterisk-announce@lists.dig...) три уязвимости, которым присвоен наивысший уровень опасности:- Переполнение буфера (http://downloads.asterisk.org/pub/security/AST-2017-002.html) в обработчике PJSIP, позволяет вызвать крах или потенциально выполнить код (возможность данного вида эксплуатации пока не подтверждена) через отправку неаутентифицированного SIP-пакета со специально изменёнными заголовками CSeq и Via. Проблеме не подвержены конфигурации Asterisk с chan_sip;
- Ошибка (http://downloads.asterisk.org/pub/security/AST-2017-003.html) в парсере комбинированных (multi-part) запросов PJSIP позволяет осуществить чтение из области вне буфера и вызвать крах через удалённую отправку специально оформленных пакетов;
- Ошибка (http://downloads.asterisk.org/pub/security/AST-2017-004.html) в канальном драйвере chan_skinny позволяет исчерпать всю доступную Asterisk память через отправку специально оформленного SCCP-пакета из-за зацикливания, если размер пакета больше размера заголовка, но меньше чем размер, указанный в заголовке.
URL: http://www.mail-archive.com/asterisk-announce@lists.dig...
Новость: http://www.opennet.me/opennews/art.shtml?num=46573
А в chan_sip до сих пор не исправили строки:
ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));даже в ветке master: https://raw.githubusercontent.com/asterisk/asterisk/master/c...
Что дает возможность брутить пароль по SIP протоколу, а астериск будет в логах писать локальный хост астериска, а не ip кулхацкера. Соответственно при помощи f2ban злоумышленник банится не будет.
Разработчикам писалось неоднократно, чувствуется сотрудничество с палестинцами.
Теперь и в PJSIP косяки.
Спасибо, будем использовать Sofia-SIP и FreeSWITCH. Астериск может где-нибудь в бэкэнде, для приложений.
Удивительно, что ты готов отказаться от целого продукта из-за одной строки, которую сам же и в состоянии поправить.
Эта строка как бы говорит нам об отношении разработчиков к безопасности.
> Удивительно, что ты готов отказаться от целого продукта из-за одной строки, которую сам же и в состоянии поправить.От "целого продукта" стоило отказаться хотя-бы потому что написан он (во всяком случае был написан еще несколько лет назад) просто безобразно, одни дедлоки в чан_сип 10 лет лечили, плюнули, и в итоге новый костыль написали, в котором опять что ни бага то 10 из 10 баллов. Для того чтобы астериск вылечить от врожденного уродства, его проще было написать с нуля. И фрисвитч был написан одним из авторов звездочки.
Я ушел на FreeSwitch 10 лет назад. О чем ни разу не пожалел.
Поговаривают что под него запилена весьма вменяемая свободная вебморда, с го и гейшами, но я ей не пользуюсь.
Где можно найти адекватную доку и примеры на FreeSwitch? Хотел перекатиться, не получилось.
> Где можно найти адекватную доку и примеры на FreeSwitch?вероятно, там же, где и на asterisk?
> Хотел перекатиться, не получилось.
тот чувак, который за тебя настраивал aster, не пожелал возиться?
> Я ушел на FreeSwitch 10 лет назад. О чем ни разу не
> пожалел.На локалхосте? Или что она там держит у вас десктопные телефоны и пару транков?
Просто я попытался хотя бы составить план перевода колцентра с 3 линиями операторов (10, 25 и 75 человек) интегрированный с CRM и почтой. И оказалось, что функционала маловато. mod_callcenter уступает архаичным очередям астериска (с учётом возможностей диалплана) во всём, кроме производительности.На этом вашем фрисвище можно делать только узлы связи, которые еще пойди залицензируй в роскомнадзоре и россвязи, а отличии от того же аста. Офисную телефонию вместо настенного панасоника. И интерактивную звонилку для нужд какого-нибудь самописного приложения.
Расскажите об историях успеха внедрения фрисвищей в крупных колцентраз со звонками от 10000 в сутки и выше за эти ваши 10 лет. Хочу, так сказать, расширить кругозор.
Рассказываю. Работало и не жужжало во время дизастеров на нагрузке в 200 cps. В коллцентре ситихоумнета, в ту пору пока его мтс не купило.Расскажите историю успеха за то как вы в роскомнадзор узел связи на заезде сдавали. Я весь во внимании.
Кстати как там, на звезде голос в предответном состоянии сделали уже ? Мне реально интересно. Я на фрисвитче так обьявления абонентам зачитывал.
> Рассказываю. Работало и не жужжало во время дизастеров на нагрузке в 200при всем уважении ко всем разработчикам, по возможностям asterisk dialplan замены пока нет.
> Расскажите историю успеха за то как вы в роскомнадзор узел связи на
да нормально все, покупается нечто сертифицированное на N номеров, а за ним/рядом астериск на N*100 абонентов, и все счастливы
> Кстати как там, на звезде голос в предответном состоянии сделали уже?
на локальных телефонах background before answer играет себе музыку.
на остальном не проверял, другим занимаюсь
еще о freeswitch, глянул статусfreebsd: ONLY_FOR_ARCHS=amd64
то есть на ARM или MISP фиг вам, в отличие от астериск.
О, еще один из креокамеры.Еще с 10 версии есть Asterisk Security Framework и fail2ban должен его и использовать:
https://wiki.asterisk.org/wiki/display/AST/Security+Log+File...
Этот модный pjsip полное реш#ето. Если смотреть чейнджлоги астериска, то львиная доля патчинга приходится на него
Что вполне закономерно, ведь библиотека до факта внедрения представляла собой реализацию как бы "клиента", в смысле клиентской роли в топологии SIP, а астериск реализовал на ней как бы "сервер", в смысле back to back агент в топологии SIP причём в манере астериска.
Представляю, как бы софию бы порвало, если бы её попытались так внедрить в астериск.
>клиентской роли в топологии SIPRTFM SIP и не писать ерунду.
Пишите сами на питоне ... будет вам счастье!!!