Sobre las vulnerabilidades de seguridad en SNOM

1 Apr

Hace un mes , salí­an a la luz, unas vulnerabilidades en los SNOM 320 que al parecer se deben más a una mala configuración que a un problema de seguridad en sí­.

Ví­a Tom Keating tenemos respuesta a cada una de ellas.

CVE-2008-1248:

Se puede enviar un POST HTTP al teléfono y permitir que llame a un número. Pero se puede proteger esta funcionalidad con password. Sin ese password, nadie puede llamar haciendo un post.

En un siguiente firmware, se avisará al usuario de que si no se pone password, el teléfono puede ser vulnerable.

No es una vulnerabilidad en si misma, ya que puede ser evitada con una configuración correcta.

CVE-2008-1249:

Si, es posible cuando se tiene el flash plugin habilitado. Pero no viene habilitado por defecto. El teléfono no es vulnerable si no se activa, y como el caso anterior puede ser protegido con password.

En un siguiente firmware, se avisará al usuario de que si no se pone password, el teléfono puede ser vulnerable.

En la siguiente versión se cambiará el plugin flash para que esto no sea posible nunca más.

No es una vulnerabilidad en si misma, ya que puede ser evitada con una configuración correcta.

CVS-2008-1250:

Si, los teléfonos SNOM son vulnerables a cross-site request forgery (CSRF). Todos los firmwares hasta V7.1.30 están afectados.

Se ha cambiado el interfaz web, ahora se usan tokens y codificación html para los valores introducidos en los campos de formulario. Las siguientes versiones no serán vulnerables .

CVS-2008-1251:

Sí­, los teléfonos SNOM son vulnerables a Cross-site scripting (XSS). Todos los firmwares hasta V7.1.30 están afectados.

Se ha cambiado el interfaz web, ahora se usan tokens y codificación html para los valores introducidos en los campos de formulario. Las siguientes versiones no serán vulnerables a XSS .

Se ha creado un web en el que se explican las acciones temporales a tomar.

http://www.snom.com/javascriptsecurity.html

SNOM 370

6 Feb

Ví­a Smith on VoIP veo el nuevo modelo de SNOM.

EL SNOM 370

Destacable:

– Display de alta definición de 240 x 128 Pixels

– 44 teclas y 17 leds.

– 12 teclas programables.

– Puerto WAN y LAN

– PoE

– Soporte para Idiomas (Nuevo!)

Nota de Prensa de SNOM aquí­