Fedora 20 : asterisk-11.10.2-2.fc20 (2014-7551)

medium Nessus Plugin ID 77768

語系：

概要

遠端 Fedora 主機遺漏安全性更新。

說明

Asterisk 開發團隊已針對 Certified Asterisk 1.8.15、 11.6，以及 Asterisk 1.8、11 和 12 發佈安全性版本。可用的安全性版本發佈為 1.8.15-cert7、11.6-cert4、1.8.28.2、11.10.2 和 12.3.2 版。

這些版本可至下列網址立即下載：http://downloads.asterisk.org/pub/telephony/asterisk/releases

這些版本可解決之前已在 1.8.15-cert6、11.6-cert3、1.8.28.1、11.10.1 和 12.3.1 中修正的安全性弱點。
遺憾的是，AST-2014-007 的修正在 Asterisk 的 TCP 和 TLS 處理中不慎引入了迴歸，會阻止 Asterisk 透過這些傳輸傳送資料。此迴歸和安全性弱點已在此版本公告指定的版本中修正。

AST-2014-007 的安全性修補程式已使用迴歸的修正進行更新，可至以下網址取得：http://downloads.asterisk.org/pub/security

請注意，目前發佈的這些版本可解決下列安全性弱點：

- AST-2014-005：PJSIP 通道驅動程式發佈/訂閱架構中的遠端損毀

- AST-2014-006：透過 Asterisk 管理員使用者未經授權的 Shell 存取權提升權限

- AST-2014-007：透過耗盡允許的並行 HTTP 連線拒絕服務

- AST-2014-008：PJSIP 通道驅動程式訂閱中的拒絕服務

如需有關這些弱點的詳細資訊，請參閱隨解決這些弱點之先前版本發佈的 AST-2014-005、AST-2014-006、AST-2014-007 和 AST-2014-008 安全性公告。

如需目前版本的完整變更清單，請參閱變更記錄：

http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.15-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.28.2 http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-11.6-cert4 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.10.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-12.3.2

安全性公告已發佈至下列網址：

- http://downloads.asterisk.org/pub/security/AST-2014-005。
pdf

- http://downloads.asterisk.org/pub/security/AST-2014-006.pdf

- http://downloads.asterisk.org/pub/security/AST-2014-007.pdf

- http://downloads.asterisk.org/pub/security/AST-2014-008.pdf

Asterisk 開發團隊已針對 Certified Asterisk 1.8.15、 11.6，以及 Asterisk 1.8、11 和 12 發佈安全性版本。可用的安全性版本發佈為 1.8.15-cert6、11.6-cert3、1.8.28.1、11.10.1 和 12.3.1 版。

這些版本可至下列網址立即下載：http://downloads.asterisk.org/pub/telephony/asterisk/releases

發佈的這些版本可解決下列問題：

- AST-2014-007：透過耗盡允許的並行 HTTP 連線拒絕服務

若在 http.conf 中分別建立至已設定之 HTTP 或 HTTPS 連接埠的 TCP 或 TLS 連線，但後續不傳送或完成 HTTP 要求，將會佔用 HTTP 工作階段。藉由重複執行此動作直至達到開啟的 HTTP 工作階段數量上限，合法要求會遭到封鎖。

此外，11.6-cert3、11.10.1 和 12.3.1 版可解決下列問題：

- AST-2014-006：透過 Asterisk 管理員使用者未經授權的 Shell 存取權提升權限

管理員使用者可以 MixMonitor 管理員動作執行任意 shell 命令。Asterisk 不需要管理員使用者的系統類別授權，就能使用 MixMonitor 動作，因此獲准使用管理員命令的任何管理員使用者可能以執行 Asterisk 處理程序的使用者身分執行 shell 命令。

此外，12.3.1 版可解決下列問題：

- AST-2014-005：PJSIP 通道驅動程式發佈/訂閱架構中的遠端損毀

PJSIP 通道驅動程式的 pub/sub 架構中存有可從遠端惡意利用的當機弱點。如果在目前沒有訂閱且端點的 'sub_min_expiry' 設定為零時嘗試取消訂閱，Asterisk 會嘗試建立含零秒的到期計時器，這是不允許的情況，因此會引發宣告。

- AST-2014-008：PJSIP 通道驅動程式訂閱中的拒絕服務

SIP 交易逾時導致訂閱終止時，保證 Asterisk 採取的動作會鎖死用於對 SIP 要求提供服務的執行緒。請注意，此行為可能只發生在已建立的訂閱上，這表示只有攻擊者繞過驗證並成功訂閱 Asterisk 伺服器上的真實資源時，此問題才會遭到惡意利用。

這些問題及其解決方案已描述於安全性公告中。

如需有關這些弱點的詳細資訊，請閱讀與此聲明同時發佈的 AST-2014-005、AST-2014-006、 AST-2014-007 與 AST-2014-008 安全性公告。

如需目前版本的完整變更清單，請參閱變更記錄：

http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.15-cert6 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.28.1 http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-11.6-cert3 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.10.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-12.3.1

Asterisk 開發團隊已發佈 Asterisk 11.10.0 版本。此版本可至下列網址立即下載：http://downloads.asterisk.org/pub/telephony/asterisk

Asterisk 11.10.0 版可解決社群報告的數個問題。倘若沒有您的參與，這就不可能實現。謝謝！

下面列出由這個版本所解決的問題：

此版本修正的錯誤：

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。