Fedora 14：asterisk-1.6.2.17-1.fc14 (2011-2438)

medium Nessus 插件 ID 52602

语言：

简介

远程 Fedora 主机缺少安全更新。

描述

Asterisk 开发团队已通告了 Asterisk 1.6.2.17 版本的发布。此版本可供立即下载，网址是：http://downloads.asterisk.org/pub/telephony/asterisk/ Asterisk 1.6.2.17 版本解决了由社区报告的若干问题，没有您的参与，不可能解决这些问题。谢谢您！下面是此版本中已解决问题的一个示例：

- 解决使用 DIALGROUP() 时 AstDB 中存在的重复数据（解决问题 #18091）。此问题由 bunny 报告。
由 tilghman 修复）

- 修正 res_config_odbc 可能使用无效数据填充字段这一问题。（解决问题 #18251、#18279。
此问题由 bcnit、zerohalo 报告。由 trev、jthurman、elguero、zerohalo 测试。由 tilghman 修复）

- 使用 cdr_pgsql 时，未应答调用未正确填充 billsec 字段。（解决问题 #18406。
此问题由 joscas 报告。由 tilghman 修复）

- 解决 SUBSCRIBE 的二次传输可能破坏存在这一问题。（解决问题 #18075。此问题由 mdu113 报告。由 twilson 修复）

- 修复导致不支持使用文件存储转发语音邮件的回归。（解决问题 #18358。此问题由 cabal95 报告。由 jpeeler 修复）

- 此版本的 Asterisk 中包含新的编译器标记选项 BETTER_BACKTRACES，该选项使用 libbfd 搜索 Asterisk 二进制文件和加载的模块内更好的符号信息，以便协助使用内联向后跟踪来跟踪问题。（由 tilghman 修复）

- 解决基于 DTMF 的指定转接的多个问题。（解决问题 #17999、#17096、#18395、#17273。此问题由 iskatel、gelo、shihchaun、grecco 报告。
由 rmudgett 修复）。注意：请务必阅读变更日志以获取有关这些变更的更多信息。

- 解决使用 res_timing_dahdi 时可能不触发 Music On Hold 这一问题。（解决问题 #18262。
此问题由 francesco_r 报告。由 cjacobson 修复。由 francesco_r、rfrantik、one47 测试）

- 修复为队列成员响铃时改变队列行为的回归。（解决问题 #18747、#18733。
此问题由 vrban 报告。由 qwell 修复。）此外，此版本中还包含与以下位置的安全公告 AST-2011-002 有关的变更：http://downloads.asterisk.org/pub/security/AST-2011-002.
pdf 有关此版本的完整变更列表，请参阅变更日志：http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.6.2.17 Asterisk 项目安全公告 - AST-2011-002 产品 Asterisk 摘要 UDPTL 代码中存在多个数组溢出和崩溃漏洞公告的性质可利用的堆栈和堆数组溢出易感对象远程未经认证的会话严重性危急已知漏洞否报告时间 2011 年 1 月 27 日报告者 Matthew Nicholson 发布时间 2011 年 2 月 21 日上次更新时间 2011 年 2 月 21 日公告联系人 Matthew Nicholson <mnicholson at digium.com> CVE 名称描述解码 UDPTL 数据包时，可以通过特别构建的数据包使多个基于堆栈和堆的数组溢出。执行 T.38 通过或终止的系统存在漏洞。解决方案 UDPTL 解码例程已经过修改，可以遵守易受攻击的数组的限制。在不含此问题的补丁的 asterisk 版本中，禁用 T.38 支持将阻止利用此漏洞。可通过将 t38pt_udptl 选项设置为“no”（默认已关闭），在 chan_sip 中禁用 T.38 支持。t38pt_udptl = no 还应该通过在 modles.conf 中添加以下行以禁用 chan_ooh323 模块。noload => chan_ooh323 影响的版本产品版本系列 Asterisk Open Source 1.4.x 所有版本 Asterisk Open Source 1.6.x 所有版本 Asterisk Business Edition C.x.x 所有版本 AsteriskNOW 1.5 所有版本 s800i (Asterisk Appliance) 1.2.x 所有版本修正位置产品版本 Asterisk Open Source 1.4.39.2、1.6.1.22、1.6.2.16.2、1.8.2.4 Asterisk Business Edition C.3.6.3 修补程序 URL 分支 http://downloads.asterisk.org/pub/security/AST-2011-002- 1.4.diff 1.4 http://downloads.asterisk.org/pub/security/AST-2011-002- 1.6.1.diff 1.6.1 http://downloads.asterisk.org/pub/security/AST-2011-002- 1.6.2.diff 1.6.2 http://downloads.asterisk.org/pub/security/AST-2011-002- 1.8.diff 1.8 链接 Asterisk 项目安全公告在 http://www.asterisk.org/security 发布此文档可能在后续版本中被取代；如果被取代，将在 http://downloads.digium.com/pub/security/AST-2011-002.pd f 和 http://downloads.digium.com/pub/security/AST-2011-002.html 中发布最新版本修订历史记录日期编辑者修订内容 02/21/11 Matthew Nicholson 初始发布 Asterisk 项目安全公告 - AST-2011-002 版权所有 (c) 2011 Digium, Inc. 保留所有权利。特此授予以其未经更改的原始格式分发和发布此公告的权限。

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。