偵測

FreeBSD:asterisk -- 多個弱點 (f109b02f-f5a4-11e3-82e9-00a098b18457)

medium Nessus Plugin ID 76103

語系:

概要

遠端 FreeBSD 主機缺少一個或多個安全性相關更新。

說明

Asterisk 專案報告:

Asterisk Manager 使用者在未經授權的情況下存取 Shell。管理員使用者可以 MixMonitor 管理員動作執行任意 shell 命令。
Asterisk 不需要管理員使用者的系統類別授權,就能使用 MixMonitor 動作,因此獲准使用管理員命令的任何管理員使用者可能以執行 Asterisk 處理程序的使用者身分執行 shell 命令。

耗盡允許的並行 HTTP 連線。若在 http.conf 中分別建立至已設定之 HTTP 或 HTTPS 連接埠的 TCP 或 TLS 連線,但後續不傳送或完成 HTTP 要求,將會佔用 HTTP 工作階段。藉由重複執行此動作直至達到開啟的 HTTP 工作階段數量上限,合法要求會遭到封鎖。

解決方案

更新受影響的套件。

另請參閱

http://downloads.asterisk.org/pub/security/AST-2014-006.pdf

http://downloads.asterisk.org/pub/security/AST-2014-007.pdf

https://www.asterisk.org/downloads/security-advisories

http://www.nessus.org/u?cf07264a

Plugin 詳細資訊

嚴重性: Medium

ID: 76103

檔案名稱: freebsd_pkg_f109b02ff5a411e382e900a098b18457.nasl

版本: 1.8

類型: local

已發布: 2014/6/18

已更新: 2021/1/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.5

媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:freebsd:freebsd:asterisk11, p-cpe:/a:freebsd:freebsd:asterisk18, cpe:/o:freebsd:freebsd

必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

修補程式發佈日期: 2014/6/17

弱點發布日期: 2014/6/12

參考資訊

CVE: CVE-2014-4046, CVE-2014-4047