Gelöst
Sicherheitslücke bei Yealink RPS – nutzt Telekom Cloud PBX dieses System?
vor 3 Monaten
Hallo zusammen,
wir sind auf eine kritische Sicherheitslücke im Yealink Remote Provisioning Service (RPS) gestoßen, die laut aktuellem Bericht mehrere Schwachstellen beinhaltet. Betroffen sind unter anderem:
CVE-2025-52917 – fehlendes Rate Limiting in der RPS API
CVE-2025-52919 – keine oder unzureichende Prüfung von TLS-Zertifikaten beim Upload
Ausführliche Infos dazu: https://dnip.ch/2025/06/25/yealink-voip-phones-insecurity-by-design/
Durch diese Schwachstellen könnten Angreifer unter bestimmten Umständen:
Konfigurationsdaten von Yealink-Endgeräten auslesen,
Geräteinformationen massenhaft abfragen (Enumeration),
manipulierte Zertifikate hochladen und so z. B. Man-in-the-Middle-Angriffe durchführen,
die Integrität und Sicherheit der Telefonie-Infrastruktur gefährden – vor allem bei zentral verwalteter Provisionierung.
Da bei und von der Telekom Cloud PBX automatisch provisionierte Yealink-Telefone zum Einsatz kommen, stellt sich uns die Frage:
Wird bei der Telekom Cloud PBX das Yealink RPS eingesetzt?
Falls ja, sind die oben genannten Schwachstellen bereits gepatcht bzw. durch andere Maßnahmen abgesichert?
Gibt es offizielle Informationen oder Stellungnahmen der Telekom zu diesem Thema?
Ich würde mich freuen, wenn jemand aus der Community oder vom Telekom-Team hierzu Auskunft geben kann – insbesondere im Hinblick auf die Sicherheit der eingesetzten Endgeräte und der Provisionierungsinfrastruktur.
Danke vorab und viele Grüße :)
59
3
Das könnte Ihnen auch weiterhelfen
157
0
1
vor 3 Jahren
454
0
1
167
0
2
570
0
3
Beliebte Tags letzte 7 Tage
Das könnte Sie auch interessieren
Kaufberatung
Sie benötigen eine persönliche Kaufberatung? Das Geschäftskundenteam der Telekom berät Sie gerne.
Angebote anzeigen
Informieren Sie sich über unsere aktuellen Angebote für Cloud & Digitale Services.
Offizielle Lösung
akzeptiert von
vor 3 Monaten
@leipzig_wittrock_gruppe
Da bin ich auch schon wieder. Das ging jetzt schneller als gedacht.
Bei den Yealink Endgeräten für unsere CloudPBX wird RPS nicht eingesetzt. Wir beziehen für unsere CloudPBX Yealink Endgeräte mit einer speziell für die Telekom angepassten Firmware. Diese Firmware kontaktiert nicht den RPS von Yealink.
Die Inbetriebnahme an der CloudPBX erfolgt nicht über die MAC Adresse (so wie bei RPS üblich), sondern über Benutzername und Passwort aus unserem Telekom CloudPBX Portal. Das Telefon kommuniziert nur mit den Telekom Servern und erhält von dort auch seine Konfiguration.
Ich denke, das beantwortet deine Fragen. Falls noch etwas unklar sein sollte, kannst du dich jederzeit hier in der Community bei uns melden.
Beste Grüße
Tanja
0