說明
- 2014 年 10 月 20 日星期一 Jeffrey C. Ollie <[email protected]> - 11.13.1-1 Asterisk 開發團隊已針對 Certified Asterisk 1.8.28 與 11.6 及 Asterisk 1.8、11、12 與 13 發佈安全性版本。可用的安全性版本發佈為 1.8.28-cert2、11.6-cert7、1.8.31.1、11.13.1、12.6.1 和 13.0.0-beta3 版。
這些版本可至下列網址立即下載:http://downloads.asterisk.org/pub/telephony/asterisk/releases
目前發佈的這些版本可解決下列安全性弱點:
- AST-2014-011:Asterisk 容易受到 POODLE 弱點影響
Asterisk 容易在兩個方面受到 POODLE 弱點影響:1) res_jabber 與 res_xmpp 模組都專門針對其加密連線使用 SSLv3。2) 由 chan_sip 通道驅動程式、Asterisk Manager Interface (AMI) 與 Asterisk HTTP Server 使用之 Asterisk 中的核心 TLS 處理,預設允許 TLS 連線遞補至 SSLv3。這允許 MITM 可能強制連線遞補至 SSLv3,進而使其容易產生 POODLE 弱點。
這些問題已在配合此安全性公告發佈的版本中加以解決。
如需這個弱點的詳細資訊,請參閱與本宣佈同時發佈的 AST-2014-011 安全性公告。
如需目前版本的完整變更清單,請參閱變更記錄:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.28-cert2 http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-11.6-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.31.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.13.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-12.6.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-13.0.0-beta3
安全性公告已發佈至下列網址:
- http://downloads.asterisk.org/pub/security/AST-2014-011。
pdf
- 2014 年 10 月 20 日星期一 Jeffrey C. Ollie <[email protected]> - 11.13.0-1 Asterisk 開發團隊已宣布發行 Asterisk 11.13.0 版。此版本可至下列網址立即下載:http://downloads.asterisk.org/pub/telephony/asterisk
Asterisk 11.13.0 版可解決社群報告的數個問題。倘若沒有您的參與,這就不可能實現。謝謝!
下面列出由這個版本所解決的問題:
此版本修正的錯誤:
請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
Plugin 詳細資訊
檔案名稱: fedora_2014-13399.nasl
代理程式: unix
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N
弱點資訊
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:21
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
可輕鬆利用: Exploits are available