Ситуация в экосистеме Asterisk и Sangoma за последний год выглядит довольно спокойной, без резких рывков и громких сенсаций. В информационном поле не так много новостей, но это не значит, что работа замерла. Напротив, разработчики методично двигались по планам, которые наметили еще на прошлом AstriCon. Основной акцент был сделан на то, о чем говорили последние несколько лет: допиливание ARI, чистка старого кода и серьезная работа над производительностью и безопасностью. Те изменения, которые раньше только обсуждались «в кулуарах», теперь обрели форму реальных обновлений, которые можно потрогать и внедрить в работу.

В целом, развитие системы сейчас идет по итеративному пути. Революций не случилось, но произошла важная эволюция — переход от накопления функций к оптимизации того, что уже есть. Большинство правок, которые появляются в свежих версиях, разработчики стараются переносить и в старые поддерживаемые ветки. Это позволяет сохранять стабильность связи даже на тех системах, которые не обновляются до самых последних релизов сразу после их выхода. При этом фокус внимания сместился с надстроек вроде FreePBX на само ядро АТС, так как именно там сейчас происходят наиболее значимые для профессионального сообщества изменения.

График релизов и большая чистка кода

Если посмотреть на традиционный график жизни версий, то главной новостью становится завершение жизненного цикла Asterisk 18. Буквально через месяц эта ветка полностью прекратит получать поддержку. Весь последний год в нее активно закидывали исправления, в основном связанные с безопасностью, но на этом её путь закончен. Всем, кто до сих пор сидит на 18-й версии, стоит всерьез задуматься о переезде на более актуальные LTS-релизы, такие как 20-я или 22-я. Если ваша система давно не обновлялась, своевременная модернизация АТС поможет избежать проблем с совместимостью и безопасностью в будущем.

Интересная ситуация сложилась с версией 23. Разработчики решили устроить в ней глобальную генеральную уборку. Суть новой стратегии проста: все новые фичи теперь попадают во все активные версии (начиная с 20-й), а 23-я становится площадкой для удаления всего лишнего. Из исходного кода вычистили огромные пласты старья, которое висело мертвым грузом еще с 10-й и 11-й версий. Под нож попали:

• Приложения DTAG и UsersConf;
• Старые методы работы с конфигурациями;
• Модули, которые годами считались «деприкейтед».

Разработчики планируют проводить такую масштабную очистку каждые два года. Это правильный подход: система избавляется от балласта, код становится чище, а вероятность возникновения ошибок в неиспользуемых модулях — меньше. Однако это требует от администраторов внимания — если вы использовали какие-то специфические старые функции, в 23-й версии они могут просто исчезнуть.

Затишье во FreePBX и влияние Sangoma

Что касается FreePBX, то здесь в этом году наблюдается практически полное отсутствие новостей. Проект как будто застыл на 17-й версии. Никаких громких анонсов или функциональных прорывов не случилось. Основная активность Sangoma сейчас сосредоточена на продвижении своих коммерческих продуктов, что вполне логично с точки зрения бизнеса, но не всегда радует сообщество open-source.

В дистрибутивы стали чаще попадать модули, которые интересны скорее самой Sangoma для продвижения своих шлюзов (вроде Vega) или платных сервисов. В России многие из этих вещей практически не используются, а само комьюнити разработчиков FreePBX стало менее открытым. В итоге, если раньше FreePBX была драйвером инноваций для пользовательских интерфейсов, то сейчас это стабильный, но довольно консервативный инструмент, который развивается гораздо медленнее, чем само ядро Asterisk.

Безопасность: год критических исправлений

Тема безопасности в этом году стала едва ли не самой обсуждаемой. Количество найденных и закрытых дыр оказалось непривычно большим. Это не значит, что Asterisk стал хуже, просто исследователи стали копать глубже, а разработчики — быстрее реагировать на угрозы. Было выпущено множество патчей, которые закрывают критические уязвимости, способные привести к полному взлому системы.

Одной из самых опасных находок стала проблема с командой ListCategories. Оказалось, что через определенные манипуляции с путями можно было заставить систему прочитать практически любой файл с диска сервера. Другая «дыра» обнаружилась в CLI-conf — там фактически перестал работать запрет на выполнение системных shell-команд, что открывало прямой путь для злоумышленников. Проведенный вовремя аудит IP-ATC позволяет вовремя заметить такие огрехи в настройке и софте.

Список важных исправлений безопасности за год впечатляет:

• SafeAsterisk: была найдена возможность подкладывать скрипты в папку Startup.div. Если злоумышленник получал доступ к этой директории, он мог выполнить любой код с правами root при перезагрузке системы.
• Stir/Shaken: в реализации этого протокола нашли ошибки, которые могли приводить к падению системы (DOS-атаки) или даже к выполнению произвольного кода через переполнение буфера.
• Проблемы с авторизацией: в версии 22.5.2 была допущена ошибка в обработке поля Realm, из-за которой Asterisk просто падал при определенных запросах.
• Подмена ID: в модуле работы с сообщениями (Message) устранили возможность подмены имени отправителя, что важно для защиты от фишинга внутри корпоративных сетей.