Подводим обзор за весь год, лучшие и худшие показатели безопасности RTC в 2025 году:
Плохие новости:
- Yealink снабдила каждый VoIP-телефон копией закрытого ключа своего центра сертификации, который по замыслу не может быть обновлён;
- В течение 9 месяцев утечка данных из Ribbon C
ommunications оставалась незамеченной при поставках в AT&T, Verizon и Министерство обороны - уязвимость нулевого дня во FreePBX активно использовалась в дикой природе.
Хорошие:
- Выпущена версия OWASP ASVS v5, в которой есть специальная глава о безопасности WebRTC
- Опубликован RFC 9725 (WHIP) со встроенными средствами защиты
- Asterisk добавил аутентификацию по протоколам SHA-256/SHA-512 (наконец-то преодолев MD5)
Также в этом выпуске:
- Наши рекомендации по отказу в обслуживании в SIPGO - эта библиотека поддерживает SIP-интерфейс OpenAI в реальном времени
- Дополнительные уязвимости FreePBX: обход аутентификации и внедрение SQL-кода;
- Анализ VoIP-протокола Tin Can: секретные вопросы, которые родители должны задавать об игрушках, подключенных к Интернету.
- Критические уязвимости в Fanvil X210, включая неавторизованный RCE.
© 2008 — 2025 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH