說明
Asterisk 開發團隊已針對 Certified Asterisk 1.8.15、 11.6,以及 Asterisk 1.8、11 和 12 發佈安全性版本。可用的安全性版本發佈為 1.8.15-cert7、11.6-cert4、1.8.28.2、11.10.2 和 12.3.2 版。
這些版本可至下列網址立即下載:http://downloads.asterisk.org/pub/telephony/asterisk/releases
這些版本可解決之前已在 1.8.15-cert6、11.6-cert3、1.8.28.1、11.10.1 和 12.3.1 中修正的安全性弱點。
遺憾的是,AST-2014-007 的修正在 Asterisk 的 TCP 和 TLS 處理中不慎引入了迴歸,會阻止 Asterisk 透過這些傳輸傳送資料。此迴歸和安全性弱點已在此版本公告指定的版本中修正。
AST-2014-007 的安全性修補程式已使用迴歸的修正進行更新,可至以下網址取得:http://downloads.asterisk.org/pub/security
請注意,目前發佈的這些版本可解決下列安全性弱點:
- AST-2014-005:PJSIP 通道驅動程式發佈/訂閱架構中的遠端損毀
- AST-2014-006:透過 Asterisk 管理員使用者未經授權的 Shell 存取權提升權限
- AST-2014-007:透過耗盡允許的並行 HTTP 連線拒絕服務
- AST-2014-008:PJSIP 通道驅動程式訂閱中的拒絕服務
如需有關這些弱點的詳細資訊,請參閱隨解決這些弱點之先前版本發佈的 AST-2014-005、AST-2014-006、AST-2014-007 和 AST-2014-008 安全性公告。
如需目前版本的完整變更清單,請參閱變更記錄:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.15-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.28.2 http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-11.6-cert4 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.10.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-12.3.2
安全性公告已發佈至下列網址:
- http://downloads.asterisk.org/pub/security/AST-2014-005。
pdf
- http://downloads.asterisk.org/pub/security/AST-2014-006.pdf
- http://downloads.asterisk.org/pub/security/AST-2014-007.pdf
- http://downloads.asterisk.org/pub/security/AST-2014-008.pdf
Asterisk 開發團隊已針對 Certified Asterisk 1.8.15、 11.6,以及 Asterisk 1.8、11 和 12 發佈安全性版本。可用的安全性版本發佈為 1.8.15-cert6、11.6-cert3、1.8.28.1、11.10.1 和 12.3.1 版。
這些版本可至下列網址立即下載:http://downloads.asterisk.org/pub/telephony/asterisk/releases
發佈的這些版本可解決下列問題:
- AST-2014-007:透過耗盡允許的並行 HTTP 連線拒絕服務
若在 http.conf 中分別建立至已設定之 HTTP 或 HTTPS 連接埠的 TCP 或 TLS 連線,但後續不傳送或完成 HTTP 要求,將會佔用 HTTP 工作階段。藉由重複執行此動作直至達到開啟的 HTTP 工作階段數量上限,合法要求會遭到封鎖。
此外,11.6-cert3、11.10.1 和 12.3.1 版可解決下列問題:
- AST-2014-006:透過 Asterisk 管理員使用者未經授權的 Shell 存取權提升權限
管理員使用者可以 MixMonitor 管理員動作執行任意 shell 命令。Asterisk 不需要管理員使用者的系統類別授權,就能使用 MixMonitor 動作,因此獲准使用管理員命令的任何管理員使用者可能以執行 Asterisk 處理程序的使用者身分執行 shell 命令。
此外,12.3.1 版可解決下列問題:
- AST-2014-005:PJSIP 通道驅動程式發佈/訂閱架構中的遠端損毀
PJSIP 通道驅動程式的 pub/sub 架構中存有可從遠端惡意利用的當機弱點。如果在目前沒有訂閱且端點的 'sub_min_expiry' 設定為零時嘗試取消訂閱,Asterisk 會嘗試建立含零秒的到期計時器,這是不允許的情況,因此會引發宣告。
- AST-2014-008:PJSIP 通道驅動程式訂閱中的拒絕服務
SIP 交易逾時導致訂閱終止時,保證 Asterisk 採取的動作會鎖死用於對 SIP 要求提供服務的執行緒。請注意,此行為可能只發生在已建立的訂閱上,這表示只有攻擊者繞過驗證並成功訂閱 Asterisk 伺服器上的真實資源時,此問題才會遭到惡意利用。
這些問題及其解決方案已描述於安全性公告中。
如需有關這些弱點的詳細資訊,請閱讀與此聲明同時發佈的 AST-2014-005、AST-2014-006、 AST-2014-007 與 AST-2014-008 安全性公告。
如需目前版本的完整變更清單,請參閱變更記錄:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.15-cert6 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.28.1 http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-11.6-cert3 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.10.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-12.3.1
Asterisk 開發團隊已發佈 Asterisk 11.10.0 版本。此版本可至下列網址立即下載:http://downloads.asterisk.org/pub/telephony/asterisk
Asterisk 11.10.0 版可解決社群報告的數個問題。倘若沒有您的參與,這就不可能實現。謝謝!
下面列出由這個版本所解決的問題:
此版本修正的錯誤:
請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
Plugin 詳細資訊
檔案名稱: fedora_2014-7551.nasl
代理程式: unix
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
弱點資訊
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:20
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
可輕鬆利用: No known exploits are available