偵測

FreeBSD:asterisk -- 減輕 libcURL HTTP 要求插入弱點 (7656fc62-a7a7-11e4-96ba-001999f8d30b)

high Nessus Plugin ID 81097

語系:

概要

遠端 FreeBSD 主機缺少一個或多個安全性相關更新。

說明

Asterisk 專案報告:

CVE-2014-8150 報告 libcURL 中有一個 HTTP 要求插入弱點。Asterisk 使用其 func_curl.so 模組 (CURL() dialplan 函式) 中的 libcURL,以及其 res_config_curl.so (cURL 即時後端) 模組。

Asterisk 可能會設定為允許將使用者提供的 URL 傳遞至 libcURL,因此,如果 Asterisk 伺服器上安裝的 libcURL 版本受到 CVE-2014-8150 影響,攻擊者可能會使用 Asterisk 當做攻擊載體,插入未經授權的 HTTP 要求。

解決方案

更新受影響的套件。

另請參閱

http://downloads.asterisk.org/pub/security/AST-2015-002.html

http://www.nessus.org/u?c65882fa

Plugin 詳細資訊

嚴重性: High

ID: 81097

檔案名稱: freebsd_pkg_7656fc62a7a711e496ba001999f8d30b.nasl

版本: 1.4

類型: local

已發布: 2015/1/30

已更新: 2021/1/6

支援的感應器: Nessus

弱點資訊

CPE: p-cpe:/a:freebsd:freebsd:asterisk, p-cpe:/a:freebsd:freebsd:asterisk11, p-cpe:/a:freebsd:freebsd:asterisk13, cpe:/o:freebsd:freebsd

必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

修補程式發佈日期: 2015/1/29

弱點發布日期: 2015/1/12