迈向7步行动计划“EFTA”的第一步正在进行中。
正如3CX在Update 7A – 专注于安全中承诺的那样,3CX昨天发布了Update 7A – Alpha。它仍然是关于安全性的。继续阅读以了解有关添加的功能、要考虑的 5 个关键点以及您需要采取的行动的更多信息!最后,如果您使用的是当前发布的 Update 7 桌面应用程序,则存在一些已知限制。让我们一起来看看吧!
哈希密码
认识到需要在 Update 7A 中解决这一良好做法,并且作为3CX改进和增强产品安全功能的持续承诺的一部分,在此更新中,所有网页密码都在系统中进行哈希处理。这意味着系统服务已完成转换,该系统服务获取所有当前密码并对其进行哈希处理。从实用的角度来看,用户仍然可以使用当前密码登录。但是,我们建议您定期更改密码。
正如3CX在之前的博客中概述的那样,目前密码的哈希仅适用于网页客户端登录。出于向后兼容性原因,3CX不会对 SIP 身份验证 ID 和密码、SIP 中继和网关密码或隧道密码进行哈希处理。如果被黑客入侵,这些凭据只能用于获取对 PBX 的呼叫访问权限。无法将其提升为登录到 PBX。但是,在将来的版本中,3CX也将对这些密码进行哈希处理。
从欢迎电子邮件中删除密码和配置文件
以前,欢迎电子邮件具有网页客户端密码 – 如前所述,应用程序的旧样式配置的配置文件。除了配置文件,网页客户端密码也已从欢迎电子邮件中删除。这意味着您需要采取一些重要步骤:
- 登录前设置您的用户密码
- 使用 QR 码配置您的安卓和/或 iOS 应用
按 IP 限网页客户端 Web 管理员访问
通过 IP 对管理控制台的访问可能已经受到限制。但是,现在,您也可以为有权访问 Web 客户端中“管理”部分的系统管理员执行此操作。
在网页客户端和 PWA 的拨号器中添加了 BLF 视图
虽然本身不是安全功能,但PWA中缺少BLF功能被认为是不开始使用它的关键原因。为了解决这个问题,3CX在网页客户端和 PWA 的拨号器中添加了 BLF 视图。正如4CX所讨论的,PWA 更易于维护和保护,因此仍然强烈建议使用它。
从实用的角度来看,此功能模仿显示类似于桌面电话的 BLF 的桌面电话。不仅显示用户的状态,还允许轻松的一键式传输。如果您是管理员,则可以通过转到“管理员>用户>添加/编辑用户”,然后转到 BLF 选项卡为所有用户配置 BLF。如果您是用户,请转到“设置 BLF >配置您自己的 BLF。
注意!5 要点
3CX有 5 件重要事项供您注意并采取行动。请仔细阅读以了解详细信息。
- 在更新 PBX 之前,请确保进行备份。更新完成后,所有密码都将被哈希处理,不再可访问。用户将能够使用其当前密码登录,但如前所述,我们建议定期更改密码!
- 3CX更新了欢迎电子邮件以支持“设置/重置密码”。如果您使用的是自定义电子邮件模板,则需要对其进行调整以包含新的电子邮件变量。
- 3CX已从网页客户端设置中删除了“重新发送凭据”选项。您现在可以从登录屏幕中选择“忘记密码”。
- 由于密码哈希,我们无法再知道密码是否安全。这意味着旧的“弱密码”警告已从产品中删除。
- 3CX所有的构建都针对VirusTotal进行了审查。截至本月24号,有零 (0) 个检测。
桌面Electron应用程序未在内部版本号 18.12.425 中更新
您可能还记得,3CX的顾问Mandiant检查了Update 7 Windows Electron应用程序,他没有发现任何妥协的证据。但是,在此版本中,不会推送桌面Electron应用程序。这意味着,如果您使用的是当前发布的 Update 7 桌面应用程序 – 它将继续工作,但有限制。以下是您可以期待的内容的回顾:
- 即使启用,也无法访问控制台限制/管理员
- 您将无法在“应用”页面中下载 Windows 应用的配置文件
- 即使全局启用,“更改密码”功能也将不起作用
计划在Update 7A 测试版中修复
- 由于与3CX的内部包相关的一些更新,Safari 中的网页客户端将无法运行。这将在测试版中修复。
- 在审查 3CX PWA 时发现了一个错误,根据您使用的浏览器,如果是新用户,头像下的 Chrome 或 Edge 徽标将不会首次显示。 这意味着用户无法安装 PWA。 这将在 BETA 版本中修复。
如何获取Update 7A Alpha
用户可以按如下方式访问更新:
Windows 和 Linux Debian 10 用户
- 登录您的管理控制台
- 更新到“New 18.0 Update 7A Alpha Security”
在 3CX 托管上运行的 StartUP 用户、当前 NFR、试用和商业实例将在 U7A Final 发布时更新(在配置的办公时间之外)。