Debian dla-4515asterisk - 安全性更新
high Nessus Plugin ID 304310
語言:
概要
遠端 Debian 主機上缺少一個或多個安全性更新。說明
遠端 Debian 11 主機已安裝受到多個弱點影響的套件如 dla-4515 公告中所提及。-------------------------------------------------- ----------------------- Debian LTS 公告 DLA-4515-1 [email protected] https://www.debian.org/lts/security/Lukas Mrdian 2026 年 3 月 29 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------
套件 asterisk 版本 1:16.28.0~dfsg-0+deb11u9 CVE ID CVE-2026-23738 CVE-2026-23739 CVE-2026-23740 CVE-2026-23741 Debian 錯誤 1127438
在 asterisk (一種 Open Source Private Branch Exchange (PBX) 和電話語音工具組) 中發現多個弱點。
CVE-2026-23738
/httpstatus 頁面中的 XSS 弱點。Cookie 名稱/值和 GET 參數名稱/值在沒有 HTML 逸出的情況下轉譯其可允許反射式跨網站指令碼攻擊。狀態頁面現在也預設為停用狀態。
CVE-2026-23739
xml.c 中的 XXE 插入弱點。XML 剖析函式允許外部實體處理其可透過網路型實體解析導致 XML 外部實體插入攻擊遭到惡意利用。
CVE-2026-23740
透過 ast_coredumper gdbinit 檔案權限造成權限提升。指令碼會建立具有預設 umask 權限的暫存檔進而可能允許本機使用者讀取或竄改敏感除錯資料。
CVE-2026-23741
在沒有所有權或權限檢查的情況下透過 ast_coredumper 來源設定檔造成的權限提升。以 root 身分執行時非 root 使用者可放置以 root 權限取得來源的惡意設定檔。
針對 Debian 11 Bullseye這些問題已在版本 1:16.28.0~dfsg-0+deb11u9 中修正。
建議您升級 asterisk 套件。
如需有關 asterisk 安全性狀態的詳細資訊,請參閱其安全追蹤頁面:
https://security-tracker.debian.org/tracker/asterisk
有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊,請參閱:https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 簽章
Tenable 已直接從 Debian 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級 asterisk 套件。另請參閱
https://security-tracker.debian.org/tracker/source-package/asterisk
https://security-tracker.debian.org/tracker/CVE-2026-23738
https://security-tracker.debian.org/tracker/CVE-2026-23739
https://security-tracker.debian.org/tracker/CVE-2026-23740
Plugin 詳細資訊
嚴重性: High
ID: 304310
檔案名稱: debian_DLA-4515.nasl
版本: 1.1
類型: local
代理程式: unix
已發布: 2026/3/30
已更新: 2026/3/30
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 9
時間性分數: 6.7
媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2026-23741
CVSS v3
風險因素: High
基本分數: 8.8
時間性分數: 7.7
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:debian:debian_linux:asterisk-modules, p-cpe:/a:debian:debian_linux:asterisk-dahdi, p-cpe:/a:debian:debian_linux:asterisk-mobile, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:asterisk-mysql, p-cpe:/a:debian:debian_linux:asterisk-ooh323, p-cpe:/a:debian:debian_linux:asterisk-dev, p-cpe:/a:debian:debian_linux:asterisk-voicemail-odbcstorage, p-cpe:/a:debian:debian_linux:asterisk-voicemail-imapstorage, p-cpe:/a:debian:debian_linux:asterisk-mp3, p-cpe:/a:debian:debian_linux:asterisk-vpb, p-cpe:/a:debian:debian_linux:asterisk-config, p-cpe:/a:debian:debian_linux:asterisk-voicemail, p-cpe:/a:debian:debian_linux:asterisk-tests, p-cpe:/a:debian:debian_linux:asterisk, p-cpe:/a:debian:debian_linux:asterisk-doc
必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2026/3/29
弱點發布日期: 2026/2/6
參考資訊
CVE: CVE-2026-23738, CVE-2026-23739, CVE-2026-23740, CVE-2026-23741