Considerando que parece haber existido ya una respuesta de parte de Sangoma a los anuncios de vulnerabilidades múltiples detectadas en FreePBX, pero también considerando la publicación de Nerdvittles del día Enero 1, 2017, donde expone claramente altos riesgos de usar FreePBX: Before choosing to ignore security, read last month’s RIPS analysis of FreePBX®
Dic-1, 2016
FreePBX 13: From Cross-Site Scripting to Remote Command Execution https://blog.ripstech.com/2016/freepbx-from-cross-site-scripting-to-remote-command-execution/
Desde Sangoma, October 7, 2016
Actualmente cual es la recomendación de uso de Sangoma respecto al Distro de FreePBX13, precauciones, actualizaciones, alertas, etc
Estas vulnerabilidades expuestas públicamente ya están corregidas?
Yo puedo leer, pero escribando es mucho trabajo para mi…
The current stable branch is FreePBX 13, there are no known security issues. There was a vulnerability discovered and fixed before the RIPS article was published (summer of 2016). Good practice is that you keep current with module updates, and restrict FreePBX admin access only to trusted hosts.
Las vulnerabilidades que reportas ya están más que resueltas. Obvio, como en cualquier sistema debes de tomar tus precauciones, de hecho la vulnerabilidad descrita en RIPS se descubrió y resolvió antes de que fuese publicado el artículo.
As writing secure software is challenging and mistakes will always happen, an important thing is how vendors react when notified about problems. We would like to thank the team of FreePBX at Sangoma Technologies Corporation that worked with us on resolving the issues. They responded fast, professional, and fixed the most critical vulnerabilities in a fast manner.
Sangoma worked directly with the RIPs tech team.
Can anyone say the same about the “secure” platforms mentioned in the Nerd Vittles article. In fact the author of Nerd Vittles has previously threatened legal action against community hackers that wanted to help expose vulnerabilities in PIAF. Furthermore said author is a shareholder in Sangoma. What’s the point of being a shareholder if your goal is to discredit the company you own shares in?
It’s certainly easier to ‘say’ your code is more secure when it’s obfuscated and encrypted and not open source. When code is open source it’s easier for anyone to look at and evaluate. I can say my windows machine and mac machine are very secure because their base operating system is obfuscated but if it was open sourced (either one) I’m sure many vulnerabilities would be exposed.
There are always two sides to a story and the story from Nerd Vittles is always an attack on Sangoma/FreePBX.
Traduccion al Espanol de lo que dice Andrew textual:
Sangoma trabajó directamente con el equipo de tecnología RIPs.
¿Puede alguien decir lo mismo acerca de las plataformas “seguras” mencionadas en el artículo Nerds Vittles. De hecho, el autor de Nerd Vittles ha amenazado con acciones legales contra hackers de la comunidad que querían ayudar a exponer vulnerabilidades en PIAF. Además dicho autor es un accionista en Sangoma. ¿Cuál es el punto de ser un accionista si su objetivo es desacreditar a la empresa en la que posee acciones?
Es ciertamente más fácil “decir” “…que su código es más seguro cuando está ofuscado y encriptado y no de código abierto. Cuando el código es de código abierto, es más fácil para cualquiera mirar y evaluar. Puedo decir que mi máquina Windows y la máquina Mac son muy seguras porque su sistema operativo es cerrado y no abierto en cuyo caso estoy seguro que muchas vulnerabilidades estarían expuestas…”.
Siempre hay dos lados de una historia y la historia de Nerd Vittles siempre refleja un ataque a Sangoma / FreePBX.
