說明
Asterisk 開發團隊已針對 Certified Asterisk 1.8.15 以及 Asterisk 1.8、10 和 11 發佈安全性版本。可用的安全性版本作為 1.8.15-cert2、1.8.20.2、 10.12.2、10.12.2-digiumphones 和 11.2.2 版本發布。
這些版本可至下列網址立即下載:http://downloads.asterisk.org/pub/telephony/asterisk/releases
發佈的這些版本可解決下列問題:
- 在 H.264 格式交涉期間可能發生的緩衝區溢位。H.264 視訊的格式屬性資源在剖析 SDP 時,會針對媒體屬性執行不安全的讀取。
此弱點只會影響 Asterisk 11。
- 在 Asterisk 的 HTTP 伺服器中存在拒絕服務。
今年 1 月修正的 AST-2012-014 包含 Asterisk HTTP 伺服器的修正,以解決遠端觸發的當機。雖然此修正可防止觸發當機,但是如果攻擊者傳送一或多個包含非常大的 Content-Length 值之 HTTP POST 要求,則該解決方案仍存在拒絕服務向量。
此弱點會影響 Certified Asterisk 1.8.15、Asterisk 1.8、10 和 11
- 在 SIP 通道驅動程式中存在一個潛在的使用者名稱洩漏問題。如果在啟用 alwaysauthreject、停用 allowguest 且停用 autocreatepeer 時驗證 SIP 要求,不論使用者是否存在,Asterisk 都會以多種方式洩漏 INVITE、SUBSCRIBE 和 REGISTER 交易。
此弱點會影響 Certified Asterisk 1.8.15、Asterisk 1.8、10 和 11
這些問題及其解決方案已描述於安全性公告中。
如需有關這些弱點的更詳細資訊,請閱讀與此聲明同時發佈的 AST-2013-001、 AST-2013-002 與 AST-2013-003 安全性公告。
如需目前版本的完整變更清單,請參閱變更記錄:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.15-cert2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.20.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.12.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.12.2-digiumphones http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.2.2
安全性公告已發佈至下列網址:
- http://downloads.asterisk.org/pub/security/AST-2013-001.
pdf
- http://downloads.asterisk.org/pub/security/AST-2013-002.pdf
- http://downloads.asterisk.org/pub/security/AST-2013-003.pdf
請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
Plugin 詳細資訊
檔案名稱: fedora_2013-4566.nasl
代理程式: unix
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:18
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
可輕鬆利用: No known exploits are available