Fedora 21：asterisk-11.13.1-1.fc21 (2014-13399) (POODLE)

medium Nessus Plugin ID 78804

語系：

概要

遠端 Fedora 主機遺漏安全性更新。

說明

- 2014 年 10 月 20 日星期一 Jeffrey C. Ollie <[email protected]> - 11.13.1-1 Asterisk 開發團隊已針對 Certified Asterisk 1.8.28 與 11.6 及 Asterisk 1.8、11、12 與 13 發佈安全性版本。可用的安全性版本發佈為 1.8.28-cert2、11.6-cert7、1.8.31.1、11.13.1、12.6.1 和 13.0.0-beta3 版。

這些版本可至下列網址立即下載：http://downloads.asterisk.org/pub/telephony/asterisk/releases

目前發佈的這些版本可解決下列安全性弱點：

- AST-2014-011：Asterisk 容易受到 POODLE 弱點影響

Asterisk 容易在兩個方面受到 POODLE 弱點影響：1) res_jabber 與 res_xmpp 模組都專門針對其加密連線使用 SSLv3。2) 由 chan_sip 通道驅動程式、Asterisk Manager Interface (AMI) 與 Asterisk HTTP Server 使用之 Asterisk 中的核心 TLS 處理，預設允許 TLS 連線遞補至 SSLv3。這允許 MITM 可能強制連線遞補至 SSLv3，進而使其容易產生 POODLE 弱點。

這些問題已在配合此安全性公告發佈的版本中加以解決。

如需這個弱點的詳細資訊，請參閱與本宣佈同時發佈的 AST-2014-011 安全性公告。

如需目前版本的完整變更清單，請參閱變更記錄：

http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.28-cert2 http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-11.6-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.31.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.13.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-12.6.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-13.0.0-beta3

安全性公告已發佈至下列網址：

- http://downloads.asterisk.org/pub/security/AST-2014-011。
pdf

- 2014 年 10 月 20 日星期一 Jeffrey C. Ollie <[email protected]> - 11.13.0-1 Asterisk 開發團隊已宣布發行 Asterisk 11.13.0 版。此版本可至下列網址立即下載：http://downloads.asterisk.org/pub/telephony/asterisk

Asterisk 11.13.0 版可解決社群報告的數個問題。倘若沒有您的參與，這就不可能實現。謝謝！

下面列出由這個版本所解決的問題：

此版本修正的錯誤：

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。