Sinologic

Autor: hellc2

  • Vulnerabilidades en Cisco CallManager y Unified Communications Manager

    Cisco BugHispasec nos envía el siguiente comunicado:

    «Se ha descubierto una vulnerabilidad en Cisco CallManager y Unified Communications Manager que podría ser aprovechada por un atacante para realizar ataques por cross site scripting e inyectar código SQL.

    Esta vulnerabilidad se debe a un fallo en la variable lang de las páginas de inicio de sesión de admin y user. Un atacante podría aprovechar esto para ejecutar código JavaScript en el navegador de los sistemas que accedieran a Cisco CallManager y Unified Communications Manager.

    Se ven afectadas las versiones Cisco CallManager 3.3, Cisco CallManager 4.x y Cisco Unified Communications Manager 4.x.

    Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes software para solucionar el problema.

    Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
    http://www.cisco.com/warp/public/707/cisco-sa-20070829-ccm.shtml     »

    Noticia original: http://www.hispasec.com/unaaldia/3232

  • Nuevo Blog sobre VoIP y telefonía

    Andrés, un compañero de este mundo (VoIP y telefonía en general) acaba de inaugurar un nuevo blog llamado SIPFree.com y desde el que promete hablarnos sobre este fabuloso mundo con noticias originales y buen contenido.

     SipFree.com

    Mucho ánimo campeón! 🙂

    Enlace: http:/www.sipfree.com/

  • Parecidos razonables Avaya

    Estaba viendo unas fotos de Flickr cuando he visto un terminal que no conocía de Avaya, la primera impresión ha sido que se parecía a otro.

    Judgad vosotros mismos:

    Avaya Original?
    Pulsa en la imagen para agrandar

    Está claro que ha cogido algunas características de otros modelos, quizá las más llamativas.

    El teléfono de la izquierda es el Thomson ST2030 y el de la derecha el Cisco 7970. El del centro parece el último modelo de Avaya 9630.

  • Vulnerabilidades no tan extrañas

    Hacking for dummiesLeo en VoipNovatos (ahora que Alberto ha sacado algo de tiempo para escribir algo) que el GrandStream GXV-3000 tiene una vulnerabilidad que permite a un supuesto atacante escuchar una conversación sin necesidad de descolgar el teléfono.

    He leído detenidamente el reporte de la vulnerabilidad y por lo visto está afectada la versión de firmware 1.0.1.7.

    No hace mucho, comprobé que algunas centralitas digitales tenían una «feature» llamada Intercom (no confundir con el servicio de Telefónica) y en diferentes modelos, estas no producían ni un triste bip para indicar que te podían escuchar.

    La utilización de este servicio consistía en que cuando pulsabas el botón de Intercom junto con una extensión, el teléfono destino pasaba a modo manos libres y auto-answer, de manera que el que llamaba podía hablar y la otra persona no tenía ni que descolgar para que la escucharan.

    De hecho, son muchas las películas en las que aparece alguien pulsando un botón (el de intercom)  y pudiendo escuchar como otras personas lo criticaban, por lo que esta vulnerabilidad no es tan rara, en algunas centralitas tradicionales se llama «feature» 😀

    Es cierto que, en este caso, se considera un fallo ya que no es un comportamiento esperado, pero visto el escándalo montado sobre la seguridad tan solo quería dar a entender que eso lleva bastante tiempo haciéndose en sistemas no tan antiguos y con absoluta normalidad.

  • Aplicaciones de FreeSwitch en Asterisk

    FreeSwitch & AsteriskAcabo de leer en un blog que la comunidad FreeSwitch ha portado muchas de las aplicaciones para ser utilizadas en Asterisk.

    Aplicaciones para Asterisk 1.2

    1. app_confcall [config] Multi-Feature conference application (rewrite of app_meetme)
    2. app_cepstral provides direct access to the cepstral 4.0 swift api allowing direct streaming of tts audio without needing to write out to a temporary file first.
    3. chan_woomera The Woomera protocol, designed by Craig Southeren of OpenH323 fame, makes it possible to put your voice over ip system in one server/process and your pbx in another and connect them with a simple raw-linear-over-udp protocol. chan_woomera is an asterisk channel_driver designed to interface the Asterisk PBX with woomera. Currenty this code is working but considered beta. Woomera currently only supports H.323 but it should soon support the OPAL VOIP abstraction layer which will allow it to speak many other protocols. The number of protocols supported by the Woomera server is irrelivant to chan_woomera which will support anything Woomera supports because of it’s thin-client-like design.
    4. res_js enables you to embed Javascript™ into Asterisk®, which enables you to write applications and dialpalns in Javascript™. This has been quoted as being more resource friendly than either the native Asterisk® dialplan or AGIs. Need js examples that exist.
    5. res_perl enables you to embed perl into Asterisk® giving you the power of perl for dialplans and applications without the overhead of AGIs.
    6. res_sqlite3 gives you the ability to use sqlite anywhere Asterisk® uses databases, this can include the dbget/put commands as well as CDR records and other places
    7. app_backticks lets you execute a shell command and capture it’s output like backticks do in most languages. It is available as both a function and an app
    8. app_changrab lets you take over a channel or originate a channel from the CLI
    9. app_distributor allows you to distribute your load for applications across multiple Asterisk® boxes
    10. app_intercept lets you grab a live channel before its answered by the intended target and redirect it to someone else
    11. app_valetparking for Asterisk® 1.2 is a better call parking subsystem enabling you to have multiple ‘parking lots’ to place calls into, and better control on receiving calls from
    12. cdr_shell reads /etc/asterisk/cdr.conf and looks for the [cdr_shell] category. Each instance of the following is parsed.
      path => /path/to/script
      These paths are registered and subsequently executed when a cdr is posted. This allows you to hook up a gateway script that will have the cdr data in its argv[] 0-18 play-fifo will create if necessary, open and listen on a fifo for slinear audio and delivers it to STDOUT. If STDOUT is blocking, it discards the data. The idea is that you would use it in a custom class in res_musiconhold
    13. app_contest allows you to easily run a ‘radio station contest line’ where you can specify a certain caller number and they will be connected, but all other callers will be rejected with some message
    14. app_event lets you fire a manager event from the dialplan
    15. app_rss allows you to easily create an IVR system of RSS news feeds. There is a perl script rss2ivr.pl that enables you to quickly and easily get feeds, parse them and create sound files via a TTS engine
    16. format_base64 lets you read or write to a MIME encoded email message as though its audio. Play a MIME encoded voicemail, write a MIME encoded email by recording live audio
    17. res_config_curl enables you to provision your Asterisk® box from a web based CGI application, rather than using static configs or realtime. This allows for a load balanced webserver to allow for failover and higher call capacities across your Asterisk® boxes

    Aplicaciones para Asterisk 1.4

    1. app_valetparking for Asterisk® 1.4 is a better call parking subsystem enabling you to have multiple ‘parking lots’ to place calls into, and better control on receiving calls from
    2. app_changrab lets you take over a channel or originate a channel from the CLI (ported to 1.4 by Clod Patry)

    Enlace: http://www.freeswitch.org/node/50

  • Probando el GrandStream GXW-4108

    Hoy me han prestado un GrandStream GXW-4108 para que le haga unas pruebecillas y vea la estabilidad, número de llamadas que soporta y compruebe cómo va con el nuevo firmware que están a punto de salir a la luz en el que supuestamente se corrigen algunos bugs bastante interesantes como el del CallerID de más de 48 bytes o un supuesto límite de llamadas simultaneas.

    El GXW-4108 es uno de los modelos de gateways con el que GrandStream quiere revolucionar el mercado de los gateways de bajo coste y alta calidad, para ello ha dotado a este modelo de algo que lo diferencia de tantos otros: estabilidad, sencillez y soporte de video.

    GXW-4108Ya hablamos de los nuevos terminales que han lanzado y con los gateways tienen intención de hacer lo mismo. Linksys cuenta con un gran número de seguidores, pero con muchas de las personas con las que he hablado coinciden en un mismo punto, y es la configuración tan compleja para conseguir que funcione al 100% como uno desea. Con SoundWin ocurre algo similar, la configuración es bastante sencilla, pero falla en que carece (por el momento) de algunas opciones que doten a los gateways de mayor potencia y flexibilidad ante un tipo determinado de entorno de trabajo.

    GrandStream se ha dado cuenta de lo que necesita el usuario final y ha optado por un interfaz de configuración sencillo a la vez que lo suficientemente completo como para adaptarse a cualquier tipo de entorno y esto haga que el usuario pueda configurar y estar seguro y satisfecho por la adquisición.

    De momento le he echado un vistazo al interfaz web y he comprobado que es bastante intuitiva. El modelo en cuestión que tengo en mis manos permite conectar hasta 8 líneas (8FXO), además de traer conectores para LAN y para WAN indispensable hoy día, además de cancelación de eco hardware y algunas cosas más que ya contaré.

    La opción de Video cuenta con algo bastante sorprendente y es que codifica la señal de video procedente de una cámara mediante el códec H.264 y con una frecuencia de hasta 30frames por segundo. (El tema del video también es uno de los puntos fuertes de GrandStream, no hay más que ver los videoteléfonos GXV-3000) .

    Por último, otra de las pruebas que haré entre hoy y mañana será algo que me ha impresionado cuando lo leí, y es que GrandStream es de los pocos gateways que soportan el Passthru de T.38 que soporta Asterisk.

    Bien, en cuanto tenga los resultados de las pruebas, las podreis leer aquí. 🙂

  • Entrevista a Mark Spencer en la VoiceCon 2007

    El pasado día 23 de Agosto se celebró la VoiceCon 2007 a la que tuvo como asistentes los CEO de las principales empresas de comunicaciones: Cisco, Avaya, Nortel, Microsoft y cómo no podía faltar: Digium con su producto estrella Asterisk.

    Entre las fotografías que he visto en Flickr (que podeis ver aquí), me ha llamado la atención una entrevista bastante curiosa que le hacen a Mark Spencer y que podeis ver aquí:

    Que lo disfruteis.

  • El último modelo de teléfono Cisco

    Permiten ver vídeo, aunque no me quiero ni imaginar como deberían ser las mesas… 🙂

    Visto en Flickr.

  • FreePBX 2.3.0 Released!

    Después de mes y medio en fase Beta, al final ha salido la versión final de FreePBX (2.3.0)

    Supuestamente soporta Asterisk 1.4 aunque ellos mismos dicen que funciona mejor con 1.2.
    Han solucionado más de 250 fallos de la anterior versión .

    Enlace: http://www.freepbx.org/

  • Como configurar un FoneBridge2 (redfone)

    fonebridge2En el archivo README que vienen con los drivers del FoneBridge2 ya viene bastante bien explicado, no obstante he encontrado una web (La Jompeich d’er Bisente) donde lo explican algo más claro e incluyendo algunos consejos bastante útiles y muy fáciles de entender.

    Cómo configurar el hearbeat, como sincronizar los datos entre dos asterisk diferentes, y algunas cosas de utilidad.

    Enlace:  http://www.bisente.com/blog/2007/08/26/asterisk-cluster-fonebridge2/