ארכיון יומי: 4 ספטמבר, 2012

פרצת אבטחה חמורה בFreePBX 2.10.0 / Elastix 2.2.0

גרסת FreePBX 2.10.0 וגרסת Elastix 2.2.0‏ ואולי גם גרסאות ישנות יותר, מכילות בעיית אבטחה בה ניתן בצורה מרוחקת להריץ קוד על השרת כמשתמש root, ובכך לחדור למכונה.

הבעיה מתרחשת בעקבות בעיית Cross Site Scripting אשר כותבת ללא פילטר מסויים לקובץ את התוכן ששמים ב URL. חשוב מאוד לעדכן את המערכת לגרסה האחרונה ביותר אשר מתקנת את הבעיה.

מידע מלא על הבעיה ניתן למצוא בבלוג הבא, ובדיווח לרשימת התפוצה של Full Disclosure . כמו כן, ניתן למצוא קוד לניצול הפרצה.

אתה קראת לי גנב

תארו לכם שאתם נכנסים לחנות. בוחרים מוצר, משלמים עליו, אבל הדרך היחידה שלכם לצאת מהחנות היא שיעשו עליכם חיפוש גופני בעירום מלא מול כולם לוודא שאתם לא גנבתם את המוצר.

אבל במידה ולא תשלמו עליו, ותשאירו על המדף תוכלו לצאת חופשי החוצה. האם עדיין תרצו לרכוש את המוצר ?

אז זה אפילו לא בערך, אלא בדיוק מה שקורה עם חוקי ה DRM הבאים לעולם לרעה.

החוקים אומרים שמי שרוכש בכספו מוצר, תוכן או שירות, הוא גנב, אבל אם לא תרכוש אתה גם גנב במידה וחליטו כי השתמשת בתוכן או בשירות בצורה כזו או אחרת (גם אם לא עשית זאת). ובכך לא משנה מה תעשה או לא תעשה, אתה למעשה עבריין כי ככה החליט החוק.

חץ וגם יונתן כתבו הרבה מאוד מלל בנושא, אבל החלטתי להסביר אותו במילים פשוטות הרבה יותר.

עכשיו אני לא יודע מה אתכם, אבל כאשר אני מוגדר כגנב למרות ששילמתי כסף עבור משהו, זה גורם לי לחשוב שאולי לא שווה לשלם כסף, ופשוט להנות מדברים "ככה", הרי אני גנב בגלל שאני קיים, אחרת איך תסבירו את החוקים האלו ?

מוקדש בתקווה כחומר למחשבה לאלו העושים רע עם החוקים הללו.