Debian DLA-455-1:asterisk 安全性更新

high Nessus Plugin ID 90873

Synopsis

遠端 Debian 主機缺少一個安全性更新。

描述

CVE-2014-6610 Asterisk Open Source 11.12.1 之前的 11.x 版和 12.5.1 之前的 12.x 版,以及 Certified Asterisk 11.6-cert6 之前的 11.6 版,在使用 res_fax_spandsp 模組時,允許經驗證的遠端使用者透過在 ReceiveFax dialplan 應用程式中未正確處理的超出呼叫訊息,造成拒絕服務 (當機)。

CVE-2014-4046 Asterisk Open Source 11.10.1 之前的 11.x 版和 12.3.1 之前的 12.x 版,以及 Certified Asterisk 11.6-cert3 之前的 11.6 版,允許經驗證的遠端管理員使用者透過 MixMonitor 動作執行任意 shell 命令。

CVE-2014-2286 在 Asterisk Open Source 1.8.26.1 之前的 1.8.x 版、11.8.1 之前的 11.8.x 版和 12.1.1 之前的 12.1.x 版,以及 Certified Asterisk 1.8.15-cert5 之前的 1.8.x 版和 11.6-cert2 之前的 11.6 版中,main/http.c 允許遠端攻擊者透過具有大量 Cookie 標頭的 HTTP 要求,造成拒絕服務 (堆疊消耗) 且可能執行任意程式碼。

CVE-2014-8412 在 Asterisk Open Source 1.8.32.1 之前的 1.8.x 版、11.14.1 之前的 11.x 版、12.7.1 之前的 12.x 版和 13.0.1 之前的 13.x 版,以及 Certified Asterisk 1.8.28-cert3 之前的 1.8.28 版和 11.6-cert8 之前的 11.6 版中,(1) VoIP 通道驅動程式、(2) DUNDi 和 (3) Asterisk 管理員介面 (AMI) 允許遠端攻擊者透過其來源 IP 未將位址系列做為第一個 ACL 項目共用的封包,繞過 ACL 限制。

CVE-2014-8418 在 Asterisk Open Source 1.8.32 之前的 1.8.x 版、11.1.4.1 之前的 11.x 版、12.7.1 之前的 12.x 版和 13.0.1 之前的 13.x 版,以及 Certified Asterisk 1.8.28-cert8 之前的 1.8 版和 11.6-cert8 之前的 11.6 版中,DB dialplan 函式允許經驗證的遠端使用者透過從外部通訊協定的呼叫取得權限,AMI 通訊協定即為一例。

CVE-2015-3008 Asterisk Open Source 1.8.32.3 之前的 1.8 版、11.17.1 之前的 11.x 版、12.8.2 之前的 12.x 版和 13.3.2 之前的 13.x 版,以及 Certified Asterisk 1.8.28-cert5 之前的 1.8.28 版、11.6-cert11 之前的 11.6 版和 13.1-cert2 之前的 13.1 版,在註冊 SIP TLS 裝置時,未正確處理 X.509 憑證的主體共用名稱 (CN) 欄位之網域名稱中的 null 位元組,進而允許攔截式攻擊者透過由合法憑證授權單位所核發之特製憑證,偽造任意 SSL 伺服器。

注意:Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

升級受影響的套件。

另請參閱

https://lists.debian.org/debian-lts-announce/2016/05/msg00005.html

https://packages.debian.org/source/wheezy/asterisk

Plugin 詳細資訊

嚴重性: High

ID: 90873

檔案名稱: debian_DLA-455.nasl

版本: 2.4

類型: local

代理程式: unix

已發布: 2016/5/4

已更新: 2021/1/11

支持的傳感器: Frictionless Assessment Agent, Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 9

時間分數: 6.7

媒介: AV:N/AC:L/Au:S/C:C/I:C/A:C

時間媒介: E:U/RL:OF/RC:C

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:asterisk, p-cpe:/a:debian:debian_linux:asterisk-config, p-cpe:/a:debian:debian_linux:asterisk-dahdi, p-cpe:/a:debian:debian_linux:asterisk-dbg, p-cpe:/a:debian:debian_linux:asterisk-dev, p-cpe:/a:debian:debian_linux:asterisk-doc, p-cpe:/a:debian:debian_linux:asterisk-mobile, p-cpe:/a:debian:debian_linux:asterisk-modules, p-cpe:/a:debian:debian_linux:asterisk-mp3, p-cpe:/a:debian:debian_linux:asterisk-mysql, p-cpe:/a:debian:debian_linux:asterisk-ooh323, p-cpe:/a:debian:debian_linux:asterisk-voicemail, p-cpe:/a:debian:debian_linux:asterisk-voicemail-imapstorage, p-cpe:/a:debian:debian_linux:asterisk-voicemail-odbcstorage, cpe:/o:debian:debian_linux:7.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2016/5/3

參考資訊

CVE: CVE-2014-2286, CVE-2014-4046, CVE-2014-6610, CVE-2014-8412, CVE-2014-8418, CVE-2015-3008

BID: 66093, 68040, 69962, 71218, 71227, 74022