說明
修正 s390 的版本 Asterisk 開發團隊已針對 Certified Asterisk 1.8.11,以及 Asterisk 1.8 和 10 發佈安全性版本。可用的安全性版本作為 1.8.11-cert7、1.8.15.1、10.7.1 和 10.7.1-digiumphones 版本發布。
這些版本可至下列網址立即下載:http://downloads.asterisk.org/pub/telephony/asterisk/releases
Asterisk 1.8.11-cert7、1.8.15.1、10.7.1 和 10.7.1-digiumphones 版本可解決下列兩個問題︰
- Asterisk 管理員介面中存在權限提升弱點。這可能會讓經驗證的遠端使用者能夠使用執行 Asterisk 應用程式之使用者的權限,在系統 Shell 上執行命令。請注意,由於此問題及先前版本的 Asterisk 中修正的其他相關弱點,已經更新了與 Asterisk 一起發送的 README-SERIOUSLY.bestpractices.txt 檔案。
- 當使用動態 Asterisk Realtime Architecture (ARA) 後端中定義的對等端認證來執行 IAX2 呼叫時,該對等端的 ACL 規則不會套用至呼叫嘗試。這可讓知道對等端認證的遠端攻擊者繞過針對該對等端設定的 ACL 規則。
這些問題及其解決方案已描述於安全性公告中。
如需更多有關這些弱點的詳細資訊,請參閱與此宣佈同時發佈的 AST-2012-012 和 AST-2012-013 安全性公告。
如需目前版本的完整變更清單,請參閱變更記錄:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.11-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.15.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.7.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.7.1-digiumphones
安全性公告已發佈至下列網址:
- http://downloads.asterisk.org/pub/security/AST-2012-012。
pdf
- http://downloads.asterisk.org/pub/security/AST-2012-013.pdf
請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
Plugin 詳細資訊
檔案名稱: fedora_2012-13286.nasl
代理程式: unix
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:18
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list