Fedora 21:asterisk-11.13.1-1.fc21 (2014-13399) (POODLE)
medium Nessus Plugin ID 78804
語言:
概要
遠端 Fedora 主機遺漏安全性更新。說明
- 2014 年 10 月 20 日星期一 Jeffrey C. Ollie <[email protected]> - 11.13.1-1 Asterisk 開發團隊已針對 Certified Asterisk 1.8.28 與 11.6 及 Asterisk 1.8、11、12 與 13 發佈安全性版本。可用的安全性版本發佈為 1.8.28-cert2、11.6-cert7、1.8.31.1、11.13.1、12.6.1 和 13.0.0-beta3 版。這些版本可至下列網址立即下載:http://downloads.asterisk.org/pub/telephony/asterisk/releases
目前發佈的這些版本可解決下列安全性弱點:
- AST-2014-011:Asterisk 容易受到 POODLE 弱點影響
Asterisk 容易在兩個方面受到 POODLE 弱點影響:1) res_jabber 與 res_xmpp 模組都專門針對其加密連線使用 SSLv3。2) 由 chan_sip 通道驅動程式、Asterisk Manager Interface (AMI) 與 Asterisk HTTP Server 使用之 Asterisk 中的核心 TLS 處理,預設允許 TLS 連線遞補至 SSLv3。這允許 MITM 可能強制連線遞補至 SSLv3,進而使其容易產生 POODLE 弱點。
這些問題已在配合此安全性公告發佈的版本中加以解決。
如需這個弱點的詳細資訊,請參閱與本宣佈同時發佈的 AST-2014-011 安全性公告。
如需目前版本的完整變更清單,請參閱變更記錄:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.28-cert2 http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-11.6-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.31.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.13.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-12.6.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-13.0.0-beta3
安全性公告已發佈至下列網址:
- http://downloads.asterisk.org/pub/security/AST-2014-011。
- 2014 年 10 月 20 日星期一 Jeffrey C. Ollie <[email protected]> - 11.13.0-1 Asterisk 開發團隊已宣布發行 Asterisk 11.13.0 版。此版本可至下列網址立即下載:http://downloads.asterisk.org/pub/telephony/asterisk
Asterisk 11.13.0 版可解決社群報告的數個問題。倘若沒有您的參與,這就不可能實現。謝謝!
下面列出由這個版本所解決的問題:
此版本修正的錯誤:
請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
更新受影響的 asterisk 套件。另請參閱
http://downloads.asterisk.org/pub/security/AST-2014-011.pdf
http://downloads.asterisk.org/pub/telephony/asterisk/
http://downloads.asterisk.org/pub/telephony/asterisk/releases/
http://www.nessus.org/u?37c37e48
http://www.nessus.org/u?31a540f8
http://www.nessus.org/u?8aaea28d
http://www.nessus.org/u?a3d5c3c6
http://www.nessus.org/u?2a2f1c54
http://www.nessus.org/u?3fe11d8f
Plugin 詳細資訊
嚴重性: Medium
ID: 78804
檔案名稱: fedora_2014-13399.nasl
版本: 1.17
類型: local
代理程式: unix
已發布: 2014/11/3
已更新: 2023/6/28
支援的感應器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.1
CVSS v2
風險因素: Medium
基本分數: 4.3
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
CVSS v3
風險因素: Medium
基本分數: 6.8
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N
弱點資訊
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:21
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2014/10/21
弱點發布日期: 2014/10/15
參考資訊
CVE: CVE-2014-3566
FEDORA: 2014-13399