Fedora 17 : asterisk-10.12.2-1.fc17 (2013-4528)

medium Nessus Plugin ID 65830

語系：

概要

遠端 Fedora 主機遺漏安全性更新。

說明

Asterisk 開發團隊已針對 Certified Asterisk 1.8.15 以及 Asterisk 1.8、10 和 11 發佈安全性版本。可用的安全性版本作為 1.8.15-cert2、1.8.20.2、 10.12.2、10.12.2-digiumphones 和 11.2.2 版本發布。

這些版本可至下列網址立即下載：http://downloads.asterisk.org/pub/telephony/asterisk/releases

發佈的這些版本可解決下列問題：

- 在 H.264 格式交涉期間可能發生的緩衝區溢位。H.264 視訊的格式屬性資源在剖析 SDP 時，會針對媒體屬性執行不安全的讀取。

此弱點只會影響 Asterisk 11。

- 在 Asterisk 的 HTTP 伺服器中存在拒絕服務。
今年 1 月修正的 AST-2012-014 包含 Asterisk HTTP 伺服器的修正，以解決遠端觸發的當機。雖然此修正可防止觸發當機，但是如果攻擊者傳送一或多個包含非常大的 Content-Length 值之 HTTP POST 要求，則該解決方案仍存在拒絕服務向量。

此弱點會影響 Certified Asterisk 1.8.15、Asterisk 1.8、10 和 11

- 在 SIP 通道驅動程式中存在一個潛在的使用者名稱洩漏問題。如果在啟用 alwaysauthreject、停用 allowguest 且停用 autocreatepeer 時驗證 SIP 要求，不論使用者是否存在，Asterisk 都會以多種方式洩漏 INVITE、SUBSCRIBE 和 REGISTER 交易。

此弱點會影響 Certified Asterisk 1.8.15、Asterisk 1.8、10 和 11

這些問題及其解決方案已描述於安全性公告中。

如需有關這些弱點的更詳細資訊，請閱讀與此聲明同時發佈的 AST-2013-001、 AST-2013-002 與 AST-2013-003 安全性公告。

如需目前版本的完整變更清單，請參閱變更記錄：

http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.15-cert2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.20.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.12.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.12.2-digiumphones http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.2.2

安全性公告已發佈至下列網址：

- http://downloads.asterisk.org/pub/security/AST-2013-001.
pdf

- http://downloads.asterisk.org/pub/security/AST-2013-002.pdf

- http://downloads.asterisk.org/pub/security/AST-2013-003.pdf

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。