Fedora 14 : asterisk-1.6.2.17-1.fc14 (2011-2438)
medium Nessus Plugin ID 52602
語系:
概要
遠端 Fedora 主機遺漏安全性更新。說明
Asterisk 開發團隊已發佈 Asterisk 1.6.2.17 版本。此版本可至下列網址立即下載: http://downloads.asterisk.org/pub/telephony/asterisk/ Asterisk 1.6.2.17 版可解決社群報告的數個問題。倘若沒有您的參與,這就不可能實現。感謝您!下列範例為此版本所解決的其中一個問題:- 解決使用 DIALGROUP() 時 AstDB 中出現重複資料的問題 (解決問題 #18091,報告者:bunny,
由 tilghman 修補)
- 更正 res_config_odbc 能以無效資料填入欄位的問題。(解決問題 #18251、#18279。
由 bcnit、zerohalo 報告。經過 trev、jthurman、 elguero、zerohalo 測試。由 tilghman 修補)
- 使用 cdr_pgsql 時,無回應呼叫上的 billsec 欄位並未正確填入。(解決問題 #18406。
報告者:joscas,由 tilghman 修補)
- 解決 SUBSCRIBE 重新傳輸可能中斷目前狀態的問題。(解決問題 #18075。由 mdu113 報告。由 twilson 修補)
- 修正造成轉寄視訊郵件時無法儲存檔案的迴歸。(解決問題 #18358。由 cabal95 報告。由 jpeeler 修補)
- 此 Asterisk 版本包含新的編譯器旗標選項 BETTER_BACKTRACES,該選項使用 libbfd 在 Asterisk 二進位和上載模組中搜尋更好的符號資訊,以便在使用內嵌反向追蹤來追蹤問題時提供協助。(由 tilghman 修補)
- 解決數個 DTMF 型伴隨傳輸問題。(解決問題 #17999、#17096、#18395、 #17273。由 iskatel、gelo、shihchaun、grecco 報告。
由 rmudgett 修補)。注意:請務必參閱變更記錄以取得更多有關這些變更的資訊。
- 解決使用 res_timing_dahdi 時可能不觸發等候音樂的問題。(解決問題 #18262,
報告者:francesco_r,修補者:cjacobson。經過 francesco_r、rfrantik、one47 測試)
- 修正呼叫佇列成員時變更佇列行為的迴歸。(解決問題 #18747、#18733。
報告者:vrban,修補者:qwell。)此外,這個版本也包含關於安全性布告欄 AST-2011-002 的變更,可至以下網址取得:http://downloads.asterisk.org/pub/security/AST-2011-002.
pdf 如需此版本的完整變更項目清單,請參閱變更記錄:
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.6.2.17
Asterisk Project 安全性公告 - AST-2011-002 產品 Asterisk 摘要
UDPTL 程式碼中有多個陣列溢位和當機弱點
公告性質:可惡意利用的堆疊和堆積陣列溢位
易受影響
遠端未經過驗證的工作階段
嚴重性:重大
已知惡意利用:無
報告日期 2011 年 1 月 27 日
報告者 Matthew Nicholson
發布日期 2011 年 2 月 21 日
上次更新日期 2011 年 2 月 21 日
公告聯絡人 Matthew Nicholson <[email protected]>
CVE 名稱描述
解碼 UDPTL 封包時,多個堆疊和堆積型陣列可由特製的封包造成溢位。執行 T.38 通過或終止的系統有弱點。解決方法 UDPTL 解碼常式已修改為遵循可惡意利用陣列的限制。在不包含此問題修正的 Asterisk 版本中,停用 T.38 支援可防止此弱點遭惡意利用。T.38 支援可在 chan_sip 中停用,方法為將 t38pt_udptl 選項設為「否」(預設為關閉)。t38pt_udptl = no chan_ooh323 模組也須停用,方法為在 modles.conf 中新增下列行。noload => chan_ooh323 受影響的版本產品版本系列 Asterisk Open Source 1.4.x 所有版本 Asterisk Open Source 1.6.x 所有版本 Asterisk Business Edition C.x.x 所有版本 AsteriskNOW 1.5 所有版本 s800i (Asterisk 裝置) 1.2.x 所有版本更正於產品版本 Asterisk Open Source 1.4.39.2、1.6.1.22、1.6.2.16.2、1.8.2.4 Asterisk Business Edition C.3.6.3 修補程式 URL 分支 http://downloads.asterisk.org/pub/security/AST-2011-002- 1.4.diff 1.4 http://downloads.asterisk.org/pub/security/AST-2011-002- 1.6.1.diff 1.6.1 http://downloads.asterisk.org/pub/security/AST-2011-002- 1.6.2.diff 1.6.2 http://downloads.asterisk.org/pub/security/AST-2011-002- 1.8.diff 1.8 連結 Asterisk Project 安全性公告發布於 http://www.asterisk.org/security 此文件可能被更新的版本取代;如遇此情形,最新的版本會發布在 http://downloads.digium.com/pub/security/AST-2011-002.pdf 和 http://downloads.digium.com/pub/security/AST-2011-002.html 上修訂歷程記錄日期編輯者修訂日期 02/21/11 Matthew Nicholson 初始版本 Asterisk Project 安全性公告 - AST-2011-002 版權所有 (c) 2011 Digium, Inc. 保留一切權利。在此授權散布及發布此公告未經修改的原始版本。
請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
更新受影響的 asterisk 套件。另請參閱
http://downloads.asterisk.org/pub/security/AST-2011-002-1.4.diff
http://downloads.asterisk.org/pub/security/AST-2011-002-1.6.1.diff
http://downloads.asterisk.org/pub/security/AST-2011-002-1.6.2.diff
http://downloads.asterisk.org/pub/security/AST-2011-002-1.8.diff
http://downloads.asterisk.org/pub/security/AST-2011-002.pdf
http://downloads.asterisk.org/pub/telephony/asterisk/
http://www.nessus.org/u?21150610
https://downloads.digium.com/pub/security/AST-2011-002.html
https://downloads.digium.com/pub/security/AST-2011-002.pdf
Plugin 詳細資訊
嚴重性: Medium
ID: 52602
檔案名稱: fedora_2011-2438.nasl
版本: 1.16
類型: local
代理程式: unix
已發布: 2011/3/10
已更新: 2021/1/11
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5.9
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:14
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2011/3/2
弱點發布日期: 2011/3/15
參考資訊
CVE: CVE-2011-1147
BID: 46474
FEDORA: 2011-2438