Primeros pasos hacia el plan de acción de 7 pasos 'EFTA' en marcha.
Como prometimos en nuestro adelanto de la Actualización 7A - Centrarse en la seguridad, hemos lanzado la Actualización 7A - Alfa hoy. Sigue siendo todo acerca de la seguridad. Siga leyendo para obtener más información sobre las funciones agregadas, los 5 puntos clave a considerar, ¡así como la acción que debe tomar! Y finalmente, si está utilizando la aplicación de escritorio actualmente lanzada para la actualización 7, existen algunas limitaciones conocidas. ¡Échales un vistazo!
Contraseñas hash
Reconociendo la necesidad de abordar esta buena práctica en la Actualización 7A, y como parte de nuestro compromiso continuo de mejorar y mejorar las funciones de seguridad de nuestros productos, en esta actualización todas las contraseñas web se cifran en el sistema. Esto significa que el servicio del sistema ha realizado una conversión que obtiene todas las contraseñas actuales y las procesa. Desde un punto de vista práctico, los usuarios aún pueden iniciar sesión con su contraseña actual. Sin embargo, recomendamos cambiar la contraseña regularmente.
Como describimos en nuestro blog anterior , en este momento, el hashing de contraseñas se aplica solo al inicio de sesión del Cliente web. Por motivos de compatibilidad con versiones anteriores, no codificaremos el ID y la contraseña de autenticación de SIP, las contraseñas de enlace troncal y de puerta de enlace SIP ni las contraseñas de túnel. Si se piratean, estas credenciales solo se pueden usar para obtener acceso de llamadas al PBX. No se pueden elevar para iniciar sesión en el PBX. Sin embargo, en versiones futuras también aplicaremos hash a estas contraseñas.
Eliminación de contraseña y archivo de configuración del correo electrónico de bienvenida
Anteriormente, el correo electrónico de bienvenida tenía la contraseña del cliente web y, como se mencionó, el archivo de configuración para la configuración de estilo antiguo de la aplicación. Junto con el archivo de configuración, la contraseña del cliente web también se eliminó del correo electrónico de bienvenida. Esto significa que debe tomar algunos pasos importantes:
Restricción del acceso del administrador web del cliente web por IP
El acceso por IP para la Consola de Gestión ya podría estar limitado. Ahora, sin embargo, también puede hacer esto para los administradores del sistema que tienen acceso a la sección de administración en el cliente web.
Vista BLF agregada en el marcador del cliente web y PWA
Aunque no es una función de seguridad per se, la falta de la función BLF en la PWA se citó como una razón clave para no comenzar a usarla. Para abordar esto, hemos agregado la vista BLF en el marcador del cliente web y PWA. Como hemos comentado, la PWA es más fácil de mantener y proteger, por lo que sigue siendo muy recomendable.
Desde un punto de vista práctico, esta característica imita un teléfono de escritorio que muestra BLF similares a un teléfono de escritorio. No solo se muestra el estado de un usuario, sino que permite transferencias sencillas con un solo clic. Si es administrador, puede configurar BLF para todos los usuarios yendo a "Administrador > Usuarios > Agregar/Editar usuario" y luego a la pestaña BLF. Si es un usuario, configure sus propios BLF en "Configuración > BLF".
¡Tomar nota! 5 puntos importantes
Tenemos 5 cosas importantes para que tome nota y tome medidas al respecto. Lea atentamente para obtener más detalles.
La aplicación Desktop Electron no se actualizó en el número de compilación 18.12.425
Recordará que la actualización 7 de la aplicación Windows Electron fue revisada por nuestros asesores Mandiant y no encontraron evidencia de compromiso. En esta versión, sin embargo, la aplicación Desktop Electron no se impulsará. Esto significa que si está utilizando la aplicación de escritorio lanzada actualmente para la Actualización 7, seguirá funcionando pero con limitaciones. Aquí hay un resumen de lo que puede esperar:
Correcciones planificadas Actualización 7A BETA
Cómo obtener la actualización 7A Alpha
Los usuarios pueden acceder a la actualización de la siguiente manera:
Los usuarios de StartUP, los NFR actuales, las pruebas y las instancias comerciales que se ejecutan en 3CX Hosted se actualizarán (fuera del horario de oficina configurado) cuando se publique U7A Final.
Ver el registro de cambios completo aquí.