Gelöst
Sicherheitslücke bei Yealink RPS – nutzt Telekom Cloud PBX dieses System?
vor 23 Stunden
Hallo zusammen,
wir sind auf eine kritische Sicherheitslücke im Yealink Remote Provisioning Service (RPS) gestoßen, die laut aktuellem Bericht mehrere Schwachstellen beinhaltet. Betroffen sind unter anderem:
CVE-2025-52917 – fehlendes Rate Limiting in der RPS API
CVE-2025-52919 – keine oder unzureichende Prüfung von TLS-Zertifikaten beim Upload
Ausführliche Infos dazu: https://dnip.ch/2025/06/25/yealink-voip-phones-insecurity-by-design/
Durch diese Schwachstellen könnten Angreifer unter bestimmten Umständen:
Konfigurationsdaten von Yealink-Endgeräten auslesen,
Geräteinformationen massenhaft abfragen (Enumeration),
manipulierte Zertifikate hochladen und so z. B. Man-in-the-Middle-Angriffe durchführen,
die Integrität und Sicherheit der Telefonie-Infrastruktur gefährden – vor allem bei zentral verwalteter Provisionierung.
Da bei und von der Telekom Cloud PBX automatisch provisionierte Yealink-Telefone zum Einsatz kommen, stellt sich uns die Frage:
Wird bei der Telekom Cloud PBX das Yealink RPS eingesetzt?
Falls ja, sind die oben genannten Schwachstellen bereits gepatcht bzw. durch andere Maßnahmen abgesichert?
Gibt es offizielle Informationen oder Stellungnahmen der Telekom zu diesem Thema?
Ich würde mich freuen, wenn jemand aus der Community oder vom Telekom-Team hierzu Auskunft geben kann – insbesondere im Hinblick auf die Sicherheit der eingesetzten Endgeräte und der Provisionierungsinfrastruktur.
Danke vorab und viele Grüße :)
16
3
Das könnte Ihnen auch weiterhelfen
124
0
1
vor 3 Jahren
378
0
1
141
0
2
553
0
3
Das könnte Sie auch interessieren
Kaufberatung
Sie benötigen eine persönliche Kaufberatung? Das Geschäftskundenteam der Telekom berät Sie gerne.
Angebote anzeigen
Informieren Sie sich über unsere aktuellen Angebote für Cloud & Digitale Services.
vor 22 Stunden
Hallo @leipzig_wittrock_gruppe,
vielen Dank für deinen Beitrag hier in der Community. Ich freue mich, dass du uns auf dieses Thema aufmerksam machst. Ich muss gestehen, dass ich das erste Mal davon lese und mich mit der Thematik nicht wirklich auskenne. Damit bei einer Sicherheitslücke schnell gehandelt werden kann, habe ich den Spezialisten mit ins Boot geholt, der sich auf dem Gebiet auskennt. Sobald ich dir nähere Infos nennen kann, melde ich mich wieder bei dir. Bis dahin bitte ich dich um ein wenig Geduld.
Beste Grüße
Tanja
0
0
Offizielle Lösung
akzeptiert von
vor 22 Stunden
@leipzig_wittrock_gruppe
Da bin ich auch schon wieder. Das ging jetzt schneller als gedacht.
Bei den Yealink Endgeräten für unsere CloudPBX wird RPS nicht eingesetzt. Wir beziehen für unsere CloudPBX Yealink Endgeräte mit einer speziell für die Telekom angepassten Firmware. Diese Firmware kontaktiert nicht den RPS von Yealink.
Die Inbetriebnahme an der CloudPBX erfolgt nicht über die MAC Adresse (so wie bei RPS üblich), sondern über Benutzername und Passwort aus unserem Telekom CloudPBX Portal. Das Telefon kommuniziert nur mit den Telekom Servern und erhält von dort auch seine Konfiguration.
Ich denke, das beantwortet deine Fragen. Falls noch etwas unklar sein sollte, kannst du dich jederzeit hier in der Community bei uns melden.
Beste Grüße
Tanja
0
vor 22 Stunden
Hallo Tanja,
vielen lieben Dank für die schnelle und kompetente Antwort. Das lässt uns jetzt wieder etwas ruhiger schlafen. :)
Liebe Grüße
Daniel
0
0
Uneingeloggter Nutzer
Frage
von