После инцидента с безопасностью 3CX мы решили выпустить обновление 3CX, посвященное только вопросам безопасности нашего продукта. Мы надеемся передать обновление в наш QA отдел в ближайшие дни. На следующей неделе мы выпустим альфа-версию и бета-версию Update 7A, а еще через неделю – финальный релиз. Что же включает это обновление?
Панель BLF в номеронабирателе приложения PWA
Эта функция напоминает индикаторную панель в настольном IP-телефоне. На ней находятся разноцветные BLF-индикаторы, показывающие статус закреплённых пользователей и позволяющие одним кликом перевести вызов. Администратор может централизованно настроить BLF для всех пользователей в разделе “Admin > Users > Add / Edit User”, вкладка BLF. Пользователи также могут настроить собственные BLF в веб-интерфейсе, в разделе “Settings > BLF”.
Хеширование всех паролей
В этом обновлении все веб-пароли в системе хэшируются. Это не значит, что они не были защищены ранее. Для доступа к паролям требовались права администратора АТС. Однако это не очень хорошая практика, которая попала в бюллетень безопасности CVE-2021-45491. Данная проблема устранена в Update 7A.
После установки обновления системная служба выполнит хеширование паролей. Для этого она получит текущие пароли пользователей. Пользователи и далее могут входить в систему со своим паролем, но мы рекомендуем его изменить.
Хеширование паролей применяется только для входа в веб-клиент. Для обратной совместимости мы не будем хешировать ID и пароль SIP, пароли SIP-транков и шлюзов, а также пароль туннеля. В случае взлома эти учетные данные могут использоваться только для звонков через АТС, но не могут быть использованы для входа в АТС. В будущих сборках мы будем хешировать и эти пароли.
Удаление файла конфигурации и паролей из приветственного письма
В Приветственном письме 3CX ранее содержался пароль для входа в веб-клиент, а также конфигурационный файл для настройки приложения через вложение (классический метод настройки). Теперь эта информация удалена из Приветственного письма, а процедура подключения следующая:
- Перед входом в систему пользователь должен установить пароль.
- Приложения для Android и iOS должны быть настроены с помощью QR-кода.
- Если вы хотите использовать устаревшее настольное приложение, настраивайте его по технологии PNP.
- Подключите устаревший клиент к сети
- Утвердите настройку в консоли управления
- В новом Приветственном письме сделаны соответствующие изменения. Если вы использовали в нем собственный текст, внесите указанные изменения.
Ограничение доступа администратора к веб-клиенту по IP
Вы и ранее могли ограничить доступ по IP к интерфейсу управления 3CX. Теперь это можно сделать и для раздела Admin веб-клиента.
Рекомендуем веб-приложение PWA
Хотя мы скоро выпустим новую версию десктопного приложения 3CX, мы все же считаем, что для упрощения сетевого администрирования целесообразно использовать PWA-приложение там, где это возможно. Все пользователи, которые пользуются настольным телефоном или приложением для Android/iOS вполне могут использовать PWA-клиент. Например, PWA отлично дополняет клиент для смартфонов. Такая связка позволяет одинаково удобно принимать звонки как за рабочим столом, так и на ходу, не требуя дорогостоящей DECT-гарнитуры!
В Update 7A мы предлагаем приложение PWA только во всплывающем уведомлении слева.
Приложение PWA требует корректно настроенного FQDN, который резолвится как в локальной сети, так и в Интернете. Любая система 3CX в облаке (StartUP / 3CX Hosted / Private Cloud) уже имеет корректно настроенный FQDN. При установке 3CX на локальный сервер следует настроить разделенную DNS. В любом случае, разделенная DNS в какой-то момент станет обязательной.
Десктопные приложения Windows и Mac теперь перенесены на страницу “Приложения” в левом нижнем углу.
Оставайтесь в курсе новостей
Следите за разработкой Update 7A в Twitter, LinkedIn и блоге. Оперативные новости также присутствуют в RRS-ленте. Много полезной информации вы найдете и на нашем выделенном форуме.
