偵測

Fedora 21:asterisk-11.13.1-1.fc21 (2014-13399) (POODLE)

medium Nessus Plugin ID 78804

語言:

概要

遠端 Fedora 主機遺漏安全性更新。

說明

- 2014 年 10 月 20 日星期一 Jeffrey C. Ollie <[email protected]> - 11.13.1-1 Asterisk 開發團隊已針對 Certified Asterisk 1.8.28 與 11.6 及 Asterisk 1.8、11、12 與 13 發佈安全性版本。可用的安全性版本發佈為 1.8.28-cert2、11.6-cert7、1.8.31.1、11.13.1、12.6.1 和 13.0.0-beta3 版。

這些版本可至下列網址立即下載:http://downloads.asterisk.org/pub/telephony/asterisk/releases

目前發佈的這些版本可解決下列安全性弱點:

- AST-2014-011:Asterisk 容易受到 POODLE 弱點影響

Asterisk 容易在兩個方面受到 POODLE 弱點影響:1) res_jabber 與 res_xmpp 模組都專門針對其加密連線使用 SSLv3。2) 由 chan_sip 通道驅動程式、Asterisk Manager Interface (AMI) 與 Asterisk HTTP Server 使用之 Asterisk 中的核心 TLS 處理,預設允許 TLS 連線遞補至 SSLv3。這允許 MITM 可能強制連線遞補至 SSLv3,進而使其容易產生 POODLE 弱點。

這些問題已在配合此安全性公告發佈的版本中加以解決。

如需這個弱點的詳細資訊,請參閱與本宣佈同時發佈的 AST-2014-011 安全性公告。

如需目前版本的完整變更清單,請參閱變更記錄:

http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.28-cert2 http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-11.6-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.31.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.13.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-12.6.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-13.0.0-beta3

安全性公告已發佈至下列網址:

- http://downloads.asterisk.org/pub/security/AST-2014-011。
 pdf

- 2014 年 10 月 20 日星期一 Jeffrey C. Ollie <[email protected]> - 11.13.0-1 Asterisk 開發團隊已宣布發行 Asterisk 11.13.0 版。此版本可至下列網址立即下載:http://downloads.asterisk.org/pub/telephony/asterisk

Asterisk 11.13.0 版可解決社群報告的數個問題。倘若沒有您的參與,這就不可能實現。謝謝!

下面列出由這個版本所解決的問題:

此版本修正的錯誤:

請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

更新受影響的 asterisk 套件。

另請參閱

https://bugzilla.redhat.com/show_bug.cgi?id=1154894

http://www.nessus.org/u?344079a1

http://downloads.asterisk.org/pub/security/AST-2014-011.pdf

http://downloads.asterisk.org/pub/telephony/asterisk/

http://downloads.asterisk.org/pub/telephony/asterisk/releases/

http://www.nessus.org/u?37c37e48

http://www.nessus.org/u?31a540f8

http://www.nessus.org/u?8aaea28d

http://www.nessus.org/u?a3d5c3c6

http://www.nessus.org/u?2a2f1c54

http://www.nessus.org/u?3fe11d8f

Plugin 詳細資訊

嚴重性: Medium

ID: 78804

檔案名稱: fedora_2014-13399.nasl

版本: 1.17

類型: local

代理程式: unix

已發布: 2014/11/3

已更新: 2023/6/28

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.1

CVSS v2

風險因素: Medium

基本分數: 4.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS v3

風險因素: Medium

基本分數: 6.8

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N

弱點資訊

CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:21

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2014/10/21

弱點發布日期: 2014/10/15

參考資訊

CVE: CVE-2014-3566

FEDORA: 2014-13399