Im eigenen Forum: 3CX löscht offenbar Kritik am Umgang mit Schwachstelle

Rund zwei Monate lang reagierte 3CX nicht auf eine im Dezember offengelegte Schwachstelle. Kritik daran wird aus dem 3CX-Forum entfernt.

Artikel veröffentlicht am , Marc Stöckel
Nicht jede Kritik ist im 3CX-Forum erwünscht.
Nicht jede Kritik ist im 3CX-Forum erwünscht. (Bild: pixabay.com / Sammy-Sander)

Nachdem der Anbieter der VoIP-Telefonielösung 3CX im vergangenen Monat selber vor einer Sicherheitslücke in seiner Software gewarnt hatte, scheint Kritik am Umgang mit der Schwachstelle im hauseigenen 3CX-Forum nicht erwünscht zu sein. Das verdeutlicht ein Blogbeitrag von Günter Born, der auf entsprechende Hinweise von einem Leser seines IT- und Windows-Blogs verweist.

Zunächst war dem Leser wohl aufgefallen, dass zwei kritische Beiträge von Mitte Dezember im 3CX-Forum plötzlich verschwunden waren. Unter Einsatz der Wayback Machine sind diese immer noch aufrufbar, in der aktuellen Version des betroffenen Threads allerdings nicht. Kritisiert wurde vor allem der Umstand, dass 3CX über mehrere Wochen hinweg trotz mehrfacher Hinweise auf die als CVE-2023-49954 registrierte Sicherheitslücke keinerlei Reaktion gezeigt hatte.

Später habe der Leser von Borns Blog in dem 3CX-Forum auch selber einen kritischen Beitrag verfasst. Dieser sei jedoch ebenfalls nach etwa zwei Stunden gelöscht worden. Obendrein sei auch sein Account gesperrt worden, angeblich wegen Spam. Außerdem habe er im Anschluss eine Mail von dem 3CX-CEO Nick Galea erhalten, in der es kurz und knapp heißt: "Bitte suchen Sie sich ein anderes Produkt, das Sie anstelle unserer kostenlosen Lizenz verwenden."

Rund zwei Monate keine Reaktion

Sowohl der Entdecker der Schwachstelle als auch das Computer Emergency Response Team Coordination Center (CERT/CC) hatten ab Mitte Oktober versucht, bezüglich CVE-2023-49954 Kontakt zu 3CX aufzunehmen, erhielten jedoch keine Antwort. Rund zwei Monate später wurde die Sicherheitslücke letztendlich via Github offengelegt.

Erst danach veröffentlichte der Anbieter auf seiner Webseite einen Sicherheitshinweis und empfahl seinen Kunden darin, die SQL-Datenbank-Integrationen der Anwendung zu deaktivieren. Dort waren allerdings zu dieser Zeit weder Patches noch weitere technische Details zu der Schwachstelle zu finden. Beides lieferte 3CX aber später über einen separaten Blogbeitrag nach.

Geschützt ist 3CX demnach ab den Versionen 18.0.9.23 und 20.0.0.1494. Bei früheren Versionen sind über CRM-Integrationsvorlagen für MsSQL, MySQL und PostgreSQL wohl SQL-Injection-Angriffe möglich, sofern anfällige Server über das Internet erreichbar sind. Das Unternehmen empfiehlt, statt direkter SQL-Abfragen grundsätzlich "eine moderne, sichere Web-API zu verwenden".

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Zwei Monate nach Meldung
SQL-Injection-Schwachstelle in 3CX noch immer ungepatcht
artikel-bild
Neue Angriffstechnik
Terrapin schwächt verschlüsselte SSH-Verbindungen
artikel-bild
Fehlende Upgrades
Mehr als jede dritte Anwendung mit Log4j ist angreifbar
Meistgelesen
artikel-bild
Kampf gegen Autodiebstahl
Kanada will den Flipper Zero verbieten
artikel-bild
Atreides Ornithopter 10327 aufgebaut
Außen Dune, innen Lego Technic
artikel-bild
Frame
Brilliant Labs stellt Brille mit integrierter KI vor
Kommentarübersicht
Re: Leider kein Einzelfall
ElMario 02. Jan 2024 / Themenstart

Erstmal alles runterspielen und danach so lange wie möglich schweigen. Dann hoffen das...

Re: Günstige Alternative?
ITsMe 02. Jan 2024 / Themenstart

freepbx, alles drin was man braucht, da asterik darunter liegt etwas eigen bei manchen...

Re: SQL Injections absolut unnötig
ITsMe 02. Jan 2024 / Themenstart

naja software die älter ist hat auch ihre Altlasten, abgesehen davon halte ich von 3cx...

Re: Sind seit Dezember schon zwei Monate vergangen?
Tiles 02. Jan 2024 / Themenstart

Hat sich schon aufgelöst, danke. Ich habe natürlich verstanden dass die zwei Monate den...

Kommentieren

Aktuell auf der Startseite von Golem.de
Kampf gegen Autodiebstahl
Kanada will den Flipper Zero verbieten

Vor einem Jahr begann Brasilien, gegen den Flipper Zero vorzugehen, nun folgt offenbar auch Kanada. Mit dem Tool ließen sich Autos stehlen, so das Argument.

Kampf gegen Autodiebstahl: Kanada will den Flipper Zero verbieten
Artikel
  1. Atreides Ornithopter 10327 aufgebaut: Außen Dune, innen Lego Technic
    Atreides Ornithopter 10327 aufgebaut
    Außen Dune, innen Lego Technic

    Der Dune Ornithopter gehört zu den eher anspruchsvollen Lego-Sets. Er sieht cool aus, wenn auch nicht so cool wie das Vorbild.
    Ein Test von Oliver Nickel

  2. Frame: Brilliant Labs stellt Brille mit integrierter KI vor
    Frame
    Brilliant Labs stellt Brille mit integrierter KI vor

    Brilliant Labs hat mit Frame eine AR-Brille mit integriertem KI-Assistenten namens Noa vorgestellt. Frame ist kaum von einer echten Brille zu unterscheiden.

  3. Apple Log: Das iPhone 15 Pro als vollwertige Videokamera
    Apple Log
    Das iPhone 15 Pro als vollwertige Videokamera

    Mit Apple Log für Video eignen sich die iPhone-Kameras für den professionellen Einsatz. Wir werfen einen Blick auf den Workflow.
    Ein Praxistest von Martin Wolf

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MwSt-Aktion bei MediaMarkt mit vielen Top-Angeboten: WD_BLACK SN850P 4 TB 293,28€, LG 34GN850P-B 563,02€, Corsair TC200 192,44€, PS5 Slim ab 379€, Xbox X 436,14€, ASUS ROG Ally 588€, Philips 55" 120 Hz 723€, Google Pixel 7a 128 GB 369€ • MindStar: XFX MERC 310 RX 7900 XT 729€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /