偵測

Fedora 14 : asterisk-1.6.2.19-1.fc14 (2011-8914)

medium Nessus Plugin ID 55581

語系:

概要

遠端 Fedora 主機遺漏安全性更新。

說明

Asterisk 開發團隊已發佈 Asterisk 1.6.2.19 版的最終維護版本。此版本可至下列網址立即下載:http://downloads.asterisk.org/pub/telephony/asterisk/

請注意,Asterisk 1.6.2.19 是 1.6.2 分支的最終維護版本。對安全相關問題的支援將持續到 2012 年 4 月 21 日。如需有關各個 Asterisk 分支支援的詳細資訊,請參閱 https://wiki.asterisk.org/wiki/display/AST/Asterisk+Versions

Asterisk 1.6.2.19 版可解決社群報告的數個問題。倘若沒有您的參與,這就不可能實現。謝謝!

下列範例為這個版本所解決的其中一個問題:

- 不將 FullyBooted 廣播至每個 AMI 連線。不應於每次有人透過 AMI 連線時將 FullyBooted 事件傳送至每個 AMI 連線。其僅應傳送至剛剛連線的使用者。
 (解決問題 #18168。已報告,由 FeyFre 修補)

- 修正 sip TCP/TLS 實作中的執行緒封鎖問題。(解決問題 #18497。由 vois 報告。
 由 vois、rossbeer、kowalma、Freddi_Fonet 測試。由 dvossel 修補)

- 接聽 DTMF 功能時不會延遲核心橋接器中的 DTMF。(解決問題 #15642、#16625。由 jasonshugart、sharvanek 報告。由 globalnetinc、jde 測試。
 由 oej、twilson 修補)

- 修正 local_fixup() 中的 chan_local 損毀。感謝 OEJ 追蹤問題及提交修補程式。
 (解決問題 #19053。已報告,由 oej 修補)

- 除非呼叫者也提供,否則不將視訊提供給 directmedia 被呼叫者 (解決問題 #19195。已報告,由 one47 修補)

已解決此版本中的其他安全性公告 AST-2011-008、AST-2011-010 與 AST-2011-011。

如需此版本中的完整變更清單,請參閱變更記錄:

http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.6.2.1 9 Asterisk 開發團隊已發佈 Asterisk 1.4.41.1 版、1.6.2.18.1 版與 1.8.4.3 版,其為安全性版本。

這些版本可至下列網址立即下載:http://downloads.asterisk.org/pub/telephony/asterisk/releases

Asterisk 1.4.41.1、1.6.2.18 和 1.8.4.3 版可解決下列數個問題:

- AST-2011-008:如果遠端使用者傳送一個包含 null 的 SIP 封包,則當緩衝區在複製中實際被截斷時,Asterisk 會以為可用資料超出 null 而延伸到封包末端。這樣會使得 SIP 標頭剖析修改超出緩衝區末端的資料而變更不相關的記憶體結構。此弱點不會影響 TCP/TLS 連線。-- 已經在 1.6.2.18.1 和 1.8.4.3 中解決

- AST-2011-009:遠端使用者傳送一個 SIP 封包,其中的「Contact」標頭缺少左邊的角括弧 (<),使得 Asterisk 存取 NULL 指標。-- 已經在 1.8.4.3 中解決

- AST-2011-010:記憶體位址不當地經由 IAX2 透過選項控制框架在網路上傳送,遠端使用者會嘗試加以存取。-- 已經在 1.4.41.1、1.6.2.18.1 和 1.8.4.3 中解決

問題與解決方法已經在 AST-2011-008、AST-2011-009 和 AST-2011-010 安全性公告中說明。

如需有關這些弱點的更詳細資訊,請閱讀與此聲明同時發佈的 AST-2011-008、 AST-2011-009 與 AST-2011-010 安全性公告。

如需目前版本的完整變更清單,請參閱變更記錄:

http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.4.41.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.6.2.18.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.4.3

安全性公告 AST-2011-008、AST-2011-009 和 AST-2011-010 可透過以下連結取得:

http://downloads.asterisk.org/pub/security/AST-2011-008.pdf http://downloads.asterisk.org/pub/security/AST-2011-009.pdf http://downloads.asterisk.org/pub/security/AST-2011-010.pdf

請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

更新受影響的 asterisk 套件。

另請參閱

http://downloads.asterisk.org/pub/security/AST-2011-008.pdf

http://downloads.asterisk.org/pub/security/AST-2011-009.pdf

http://downloads.asterisk.org/pub/security/AST-2011-010.pdf

http://downloads.asterisk.org/pub/telephony/asterisk/

http://www.nessus.org/u?34b848ec

http://downloads.asterisk.org/pub/telephony/asterisk/releases/

http://www.nessus.org/u?f623297e

http://www.nessus.org/u?0b0db8bb

http://www.nessus.org/u?4ab370c4

http://www.nessus.org/u?6789a211

https://wiki.asterisk.org/wiki/display/AST/Asterisk+Versions

Plugin 詳細資訊

嚴重性: Medium

ID: 55581

檔案名稱: fedora_2011-8914.nasl

版本: 1.16

類型: local

代理程式: unix

已發布: 2011/7/13

已更新: 2021/1/11

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

弱點資訊

CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:14

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2011/6/30

弱點發布日期: 2011/7/6

參考資訊

CVE: CVE-2011-2529, CVE-2011-2535, CVE-2011-2665

BID: 48431

FEDORA: 2011-8914