¿Estás visitando desde Perú?
Ingresá a Linware Perú ⯈
Continuar en Linware Perú ⯈
×
¿Qué estás buscando?
BUSCAR!
INICIO
NOSOTROS
imMail 3CX MagicSpam VMware Zimbra Xinuos SUSE Bitrix24 Nakivo Proxmox Veeam Kaspersky OnlyOffice
PRODUCTOS ▾
SOLUCIONES
BLOG
CONTACTO
BLOG
Actualización 7A Alpha: enfoque en la seguridad de contraseñas y más
Publicada el 25/04/2023

Primeros pasos hacia el plan de acción de 7 pasos 'EFTA' en marcha.

Como prometimos en nuestro adelanto de la Actualización 7A - Centrarse en la seguridad, hemos lanzado la Actualización 7A - Alfa hoy. Sigue siendo todo acerca de la seguridad. Siga leyendo para obtener más información sobre las funciones agregadas, los 5 puntos clave a considerar, ¡así como la acción que debe tomar! Y finalmente, si está utilizando la aplicación de escritorio actualmente lanzada para la actualización 7, existen algunas limitaciones conocidas. ¡Échales un vistazo!

Contraseñas hash

Reconociendo la necesidad de abordar esta buena práctica en la Actualización 7A, y como parte de nuestro compromiso continuo de mejorar y mejorar las funciones de seguridad de nuestros productos, en esta actualización todas las contraseñas web se cifran en el sistema. Esto significa que el servicio del sistema ha realizado una conversión que obtiene todas las contraseñas actuales y las procesa. Desde un punto de vista práctico, los usuarios aún pueden iniciar sesión con su contraseña actual. Sin embargo, recomendamos cambiar la contraseña regularmente.

Como describimos en nuestro blog anterior , en este momento, el hashing de contraseñas se aplica solo al inicio de sesión del Cliente web. Por motivos de compatibilidad con versiones anteriores, no codificaremos el ID y la contraseña de autenticación de SIP, las contraseñas de enlace troncal y de puerta de enlace SIP ni las contraseñas de túnel. Si se piratean, estas credenciales solo se pueden usar para obtener acceso de llamadas al PBX. No se pueden elevar para iniciar sesión en el PBX. Sin embargo, en versiones futuras también aplicaremos hash a estas contraseñas.

Eliminación de contraseña y archivo de configuración del correo electrónico de bienvenida

Anteriormente, el correo electrónico de bienvenida tenía la contraseña del cliente web y, como se mencionó, el archivo de configuración para la configuración de estilo antiguo de la aplicación. Junto con el archivo de configuración, la contraseña del cliente web también se eliminó del correo electrónico de bienvenida. Esto significa que debe tomar algunos pasos importantes:

  1. Establezca su contraseña de usuario antes de iniciar sesión
  2. Use el código QR para aprovisionar su aplicación de Android y/o iOS

Restricción del acceso del administrador web del cliente web por IP

El acceso por IP para la Consola de Gestión ya podría estar limitado. Ahora, sin embargo, también puede hacer esto para los administradores del sistema que tienen acceso a la sección de administración en el cliente web.

Vista BLF agregada en el marcador del cliente web y PWA

Aunque no es una función de seguridad per se, la falta de la función BLF en la PWA se citó como una razón clave para no comenzar a usarla. Para abordar esto, hemos agregado la vista BLF en el marcador del cliente web y PWA. Como hemos comentado, la PWA es más fácil de mantener y proteger, por lo que sigue siendo muy recomendable.

Desde un punto de vista práctico, esta característica imita un teléfono de escritorio que muestra BLF similares a un teléfono de escritorio. No solo se muestra el estado de un usuario, sino que permite transferencias sencillas con un solo clic. Si es administrador, puede configurar BLF para todos los usuarios yendo a "Administrador > Usuarios > Agregar/Editar usuario" y luego a la pestaña BLF. Si es un usuario, configure sus propios BLF en "Configuración > BLF".

¡Tomar nota! 5 puntos importantes

Tenemos 5 cosas importantes para que tome nota y tome medidas al respecto. Lea atentamente para obtener más detalles.

  • Antes de actualizar su PBX, asegúrese de hacer una copia de seguridad. Una vez que se complete la actualización, todas las contraseñas se codificarán y ya no estarán accesibles. Los usuarios podrán iniciar sesión con su contraseña actual, pero como se indicó, recomendamos cambiarla, ¡regularmente!
  • Hemos actualizado los correos electrónicos de bienvenida para admitir "Establecer/Restablecer contraseña". Si está utilizando una plantilla de correo electrónico personalizada, debe ajustarla para incluir la nueva variable de correo electrónico .
  • Hemos eliminado la opción de "Reenviar credenciales" de la configuración del cliente web. Ahora puede seleccionar "Olvidé mi contraseña" en la pantalla de inicio de sesión.
  • Debido al hashing de contraseñas, ya no podemos saber si una contraseña es segura o no. Esto significa que la antigua advertencia de ' contraseña débil ' se ha eliminado del producto.
  • Todas nuestras compilaciones fueron revisadas contra VirusTotal. Hasta ayer 24 de abril de 2023 hay cero (0) detecciones.

La aplicación Desktop Electron no se actualizó en el número de compilación 18.12.425

Recordará que la actualización 7 de la aplicación Windows Electron fue revisada por nuestros asesores Mandiant y no encontraron evidencia de compromiso. En esta versión, sin embargo, la aplicación Desktop Electron no se impulsará. Esto significa que si está utilizando la aplicación de escritorio lanzada actualmente para la Actualización 7, seguirá funcionando pero con limitaciones. Aquí hay un resumen de lo que puede esperar:

  • Incluso si está habilitado, no se podrá acceder a Restricciones de consola/Administrador
  • No podrá descargar archivos de aprovisionamiento para la aplicación de Windows en la página de aplicaciones
  • La función ' Cambiar contraseña ' no funcionará incluso si está habilitada globalmente

Correcciones planificadas Actualización 7A BETA

  • Debido a algunas actualizaciones relacionadas con nuestros paquetes internos, Web Client en Safari no funcionará. Esto se solucionará en BETA.
  • Se encontró un error al revisar el PWA de 3CX, en el que, según el navegador que utilice, el logotipo de Chrome o Edge debajo del Avatar no se mostrará por primera vez si es un nuevo usuario. Esto significa que el usuario no puede instalar la PWA. Esto se solucionará en la versión BETA.

Cómo obtener la actualización 7A Alpha

Los usuarios pueden acceder a la actualización de la siguiente manera:

  • Usuarios de Windows y Linux Debian 10
    • Inicie sesión en su consola de administración
    • Actualización a "Nueva 18.0 Actualización 7A Alpha Security"

Los usuarios de StartUP, los NFR actuales, las pruebas y las instancias comerciales que se ejecutan en 3CX Hosted se actualizarán (fuera del horario de oficina configurado) cuando se publique U7A Final.

Ver el registro de cambios completo aquí.

Ir al Blog
Contacto en Perú
Lima
Tel-Fax +51 (1) 6419490
Email: info@linware.com.ar
Síganos en
Copyright © 2020 LINWARE