Fedora 17 : asterisk-10.3.1-1.fc17 (2012-6704)

high Nessus Plugin ID 59002

語系：

概要

遠端 Fedora 主機遺漏安全性更新。

說明

Asterisk 開發團隊已發佈 Asterisk 1.6.2、1.8 和 10 的安全性版本。可用的安全性版本已作為 1.6.2.24、1.8.11.1 和 10.3.1 版本發佈。

這些版本可至下列網址立即下載：http://downloads.asterisk.org/pub/telephony/asterisk/releases

Asterisk 版本 1.6.2.24、1.8.11.1 和 10.3.1 可解決以下兩個問題：

- Asterisk 管理員介面中存在權限提升弱點。這可能會讓經驗證的遠端使用者能夠使用執行 Asterisk 應用程式之使用者的權限，在系統 Shell 上執行命令。

- Skinny Channel 驅動程式中存在堆積溢位弱點。在固定長度緩衝區結尾附加接收的數字之前，數字鍵台按鈕訊息事件對該緩衝區長度的檢查失敗。經驗證的遠端使用者可傳送緩衝區將滿溢的大量鍵盤按鈕訊息事件。

此外，Asterisk 版本 1.8.11.1 和 10.3.1 可解決下列問題：

- SIP 通道驅動程式在處理 UPDATE 要求時存在遠端損毀弱點。當接收到的 SIP UPDATE 要求指示要在通道終止之後，與相關 SIP 對話方塊最終毀損之前進行相連線條更新，Asterisk 將嘗試在非現有通道上進行相連線條更新，而導致損毀發生。

這些問題及其解決方案已描述於安全性公告中。

如需有關這些弱點的更詳細資訊，請閱讀與此聲明同時發佈的 AST-2012-004、 AST-2012-005 與 AST-2012-006 安全性公告。

如需目前版本的完整變更清單，請參閱變更記錄：

http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.6.2.24 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.11.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.3.1

安全性公告已發佈至下列網址：

- http://downloads.asterisk.org/pub/security/AST-2012-004。
pdf

- http://downloads.asterisk.org/pub/security/AST-2012-005.pdf

- http://downloads.asterisk.org/pub/security/AST-2012-006.pdf

1.8.11.0 的更新、1.8.10.1 的更新，可修正兩個安全性弱點。

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。