Fedora 15 : asterisk-1.8.4.4-2.fc15 (2011-8983)

medium Nessus Plugin ID 55582

語系：

概要

遠端 Fedora 主機遺漏安全性更新。

說明

從 EL6 和 F15 移除 systemd 相依性 Asterisk 開發團隊已發佈 Asterisk 1.4.41.2 版、1.6.2.18.2 版與 1.8.4.4 版，其為安全性版本。

這些版本可至下列網址立即下載：http://downloads.asterisk.org/pub/telephony/asterisk/releases

Asterisk 1.4.41.2、1.6.2.18.2 和 1.8.4.4 版可解決下列問題：

AST-2011-011：即使在組態中設定 alwaysauthreject 選項，Asterisk 回應來自無效 SIP 使用者之 SIP 要求的方式，可能還是與回應來自系統上設定之使用者的 SIP 要求的方式不同。這可能會洩漏 Asterisk 系統上有效 SIP 使用者的相關資訊。

如需有關此弱點的詳細資訊，請參閱與此聲明同時發佈的 AST-2011-011 安全性公告。

如需目前版本的完整變更清單，請參閱變更記錄：

http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.4.41.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.6.2.18.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.4.4

安全性公告 AST-2011-011 可至以下網址取得：

http://downloads.asterisk.org/pub/security/AST-2011-011.pdf Asterisk 開發團隊已發佈 Asterisk 1.4.41.1 版、1.6.2.18.1 版與 1.8.4.3 版，其為安全性版本。

這些版本可至下列網址立即下載：http://downloads.asterisk.org/pub/telephony/asterisk/releases

Asterisk 1.4.41.1、1.6.2.18 和 1.8.4.3 版可解決下列數個問題：

- AST-2011-008：如果遠端使用者傳送一個包含 null 的 SIP 封包，則當緩衝區在複製中實際被截斷時，Asterisk 會以為可用資料超出 null 而延伸到封包末端。這樣會使得 SIP 標頭剖析修改超出緩衝區末端的資料而變更不相關的記憶體結構。此弱點不會影響 TCP/TLS 連線。-- 已經在 1.6.2.18.1 和 1.8.4.3 中解決

- AST-2011-009：遠端使用者傳送一個 SIP 封包，其中的「Contact」標頭缺少左邊的角括弧 (<)，使得 Asterisk 存取 NULL 指標。-- 已經在 1.8.4.3 中解決

- AST-2011-010：記憶體位址不當地經由 IAX2 透過選項控制框架在網路上傳送，遠端使用者會嘗試加以存取。-- 已經在 1.4.41.1、1.6.2.18.1 和 1.8.4.3 中解決

問題與解決方法已經在 AST-2011-008、AST-2011-009 和 AST-2011-010 安全性公告中說明。

如需有關這些弱點的更詳細資訊，請閱讀與此聲明同時發佈的 AST-2011-008、 AST-2011-009 與 AST-2011-010 安全性公告。

如需目前版本的完整變更清單，請參閱變更記錄：

http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.4.41.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.6.2.18.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.4.3

安全性公告 AST-2011-008、AST-2011-009 和 AST-2011-010 可透過以下連結取得：

http://downloads.asterisk.org/pub/security/AST-2011-008.pdf http://downloads.asterisk.org/pub/security/AST-2011-009.pdf http://downloads.asterisk.org/pub/security/AST-2011-010.pdf

Asterisk 開發團隊已宣佈發行 Asterisk 1.8.4.2 版，其為 Asterisk 1.8 的安全性版本。

此版本可至下列網址立即下載：http://downloads.asterisk.org/pub/telephony/asterisk/releases

Asterisk 1.8.4.2 版本可以解決使用 SIP URI 剖析造成的問題，該問題可導致可以從遠端惡意利用而造成當機：

SIP 通道驅動程式中的遠端損毀弱點 (AST-2011-007)

問題與解決方法已經在 AST-2011-007 安全性公告中說明。

如需有關此弱點的詳細資訊，請參閱與此聲明同時發佈的 AST-2011-007 安全性公告。

如需目前版本的完整變更清單，請參閱變更記錄：

http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.4.2

安全性公告 AST-2011-007 可至以下網址取得：

http://downloads.asterisk.org/pub/security/AST-2011-007.pdf

Asterisk 開發團隊已發佈 Asterisk 1.8.4.1 版本。此版本可至下列網址立即下載：http://downloads.asterisk.org/pub/telephony/asterisk/

Asterisk 1.8.4.1 版解決了社群報告的數個問題。倘若沒有您的參與，這就不可能實現。謝謝！

以下是此版本解決的問題清單：

- 修正我們與 RFC 3261 第 18.2.2 小節的符合性。(aka Cisco 電話修正) (解決問題 #18951。由 jmls 報告。
由 wdoekes 修補)

- 解決因為 Cisco 電話修正問題產生的一個 IPv6 標頭剖析變更。此問題由 Asterisk 測試套件發現和報告。(解決問題 #18951。由 mnicholson 修補)

- 解決使用 SIP TLS 支援時可能發生的當機。
(解決問題 #19192。由 stknob 報告。由 Chainsaw 修補。由 vois、Chainsaw 測試)

- 改善使用 SIP TLS 時的可靠性。(解決問題 #19182。由 st 報告，由 mnicholson 修補)

如需此候選版本中的完整變更清單，請參閱變更記錄：

http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.8.4.1

Asterisk 開發團隊已發佈 Asterisk 1.8.4 版本。此版本可至下列網址立即下載：http://downloads.asterisk.org/pub/telephony/asterisk/

Asterisk 1.8.4 版解決了社群報告的數個問題。倘若沒有您的參與，這就不可能實現。謝謝！

以下是此版本解決的一個問題範例：

- 使用 SSLv23_client_method 而不是只使用舊的 SSLv2。
(解決問題 #19095、#19138。由 tzafrir 報告修補。由 russell 和 chazzam 測試。

- 解決 ast_mutex_init() 中的損毀 (由 twilson 修補)

- 解決多個 DTMF 型伴隨傳輸問題。(解決問題 #17999、#17096、#18395、#17273。
由 iskatel、gelo、shihchuan、grecco 報告。由 rmudgett 修補)

注意：請務必參閱變更記錄以取得更多有關這些變更的資訊。

- 解決與 in chan_sip 裝置狀態有關的鎖死 (解決問題 #18310。已報告，由 one47 修補。
由 jpeeler 修補)

- 解決停用 Asterisk 管理員介面時洩漏記憶體的問題。(由 kmorgan 在內部報告。由 russellb 修補)

- 如 voicemail.conf.sample 中描述的支援 greetingsfolder。(解決問題 #17870。由 edhorton 報告。由 seanbright 修補)

- 修正出自 MeetMe() 的通道重新導向與通道 softhangup 的其他問題 (解決問題 #18585。由 oej 報告。由 oej、wedhorn、russellb 測試。由 russellb 修補)

- 修正檔案型儲存的語音信箱排序。(解決問題 #18498、#18486。由 JJCinAZ、bluefox 報告。
由 jpeeler 修補)

- 設定 local_hangup 中的掛斷原因，使得使用本機通道而遠端傳回忙碌音時，傳回碼是正確的 486 而不是 503。也會影響 Asterisk 1.8+ 中的 CCSS。(由 twilson 修補)

- 修正冗長訊息未輸出至主控台的問題。(解決問題 #18580。由 pabelanger 報告。
由 qwell 修補)

- 修正 SIP 呼叫伴隨傳輸鎖死問題 (解決問題 #18837。已報告，由 alecdavis 修補。由 alecdavid、Irontec、ZX81、cmaj 測試)

包含根據 AST-2011-005 和 AST-2011-006 所做的變更。如需此候選版本中的完整變更清單，請參閱變更記錄：

http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.8.4

您可從下列網址取得安全性版本的相關資訊：

http://downloads.asterisk.org/pub/security/AST-2011-005.pdf
http://downloads.asterisk.org/pub/security/AST-2011-006.pdf

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。