15 Nov
2007
15 Nov
'07
6:12 p.m.
Hola Iñaki,
El Monday 05 November 2007 19:21:52 Jesus Rodriguez escribió:
A todo esto, entonces ya no soy tan paranoico con lo de permitir llamadas directas a usuarios si el atacante conoce el "Contact" de uno de ellos, ¿no? XDDDDD
Esto aún no lo he acabado de entender... me lo cuentas en Madrid con un mapa :)
Jesús, ya he implementado el mecanismo para evitar ese "gran" problema del que te hablaba (y que te dibujé con un mapa en el SIMO).
Finalmente queda:
- He añadido una IP virtual.
- OpenSer escucha en ella (por necesidad para poder rutar por ella).
- Bloqueo mensajes entrantes por esa IP (miro $Ri).
- Las outbound las saco por allí con: force_send_socket(IP_alias:5060);
Funciona perfectamente y la vulnerabilidad se acabó ;)
Genial! :)
Gracias por toda la ayuda.
De nada!.
Saludos JesusR.
------------------------------------ Jesus Rodriguez VozTelecom Sistemas, S.L. jesusr@voztele.com http://www.voztele.com Tel. 902360305 -------------------------------------