Fedora 18 : asterisk-10.7.1-2.fc18 (2012-13286)

high Nessus Plugin ID 62148

語系：

概要

遠端 Fedora 主機遺漏安全性更新。

說明

修正 s390 的版本 Asterisk 開發團隊已針對 Certified Asterisk 1.8.11，以及 Asterisk 1.8 和 10 發佈安全性版本。可用的安全性版本作為 1.8.11-cert7、1.8.15.1、10.7.1 和 10.7.1-digiumphones 版本發布。

這些版本可至下列網址立即下載：http://downloads.asterisk.org/pub/telephony/asterisk/releases

Asterisk 1.8.11-cert7、1.8.15.1、10.7.1 和 10.7.1-digiumphones 版本可解決下列兩個問題︰

- Asterisk 管理員介面中存在權限提升弱點。這可能會讓經驗證的遠端使用者能夠使用執行 Asterisk 應用程式之使用者的權限，在系統 Shell 上執行命令。請注意，由於此問題及先前版本的 Asterisk 中修正的其他相關弱點，已經更新了與 Asterisk 一起發送的 README-SERIOUSLY.bestpractices.txt 檔案。

- 當使用動態 Asterisk Realtime Architecture (ARA) 後端中定義的對等端認證來執行 IAX2 呼叫時，該對等端的 ACL 規則不會套用至呼叫嘗試。這可讓知道對等端認證的遠端攻擊者繞過針對該對等端設定的 ACL 規則。

這些問題及其解決方案已描述於安全性公告中。

如需更多有關這些弱點的詳細資訊，請參閱與此宣佈同時發佈的 AST-2012-012 和 AST-2012-013 安全性公告。

如需目前版本的完整變更清單，請參閱變更記錄：

http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.11-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.15.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.7.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.7.1-digiumphones

安全性公告已發佈至下列網址：

- http://downloads.asterisk.org/pub/security/AST-2012-012。
pdf

- http://downloads.asterisk.org/pub/security/AST-2012-013.pdf

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。