Fedora 14:asterisk-1.6.2.19-1.fc14 (2011-8914)
medium Nessus 插件 ID 55581
语言:
简介
远程 Fedora 主机缺少安全更新。描述
Asterisk 开发团队已发布 Asterisk 的最终维护版本(1.6.2.19 版)。此版本可供立即下载,网址是:http://downloads.asterisk.org/pub/telephony/asterisk/请注意,Asterisk 1.6.2.19 是 1.6.2 分支的最终维护版本。安全相关问题的支持将持续到 2012 年 4 月 21 日。如需有关各个 Asterisk 分支支持的更多信息,请参阅 https://wiki.asterisk.org/wiki/display/AST/Asterisk+Versions
Asterisk 1.6.2.19 版本解决了由社区报告的若干问题,没有您的参与,不可能解决这些问题。谢谢!
以下是此版本中已解决问题的一个示例:
- 不将 FullyBooted 广播到每个 AMI 连接。不应在每次有人通过 AMI 连接时将 FullyBooted 事件发送至每个 AMI 连接。其仅应发送至刚刚连接的用户。
(解决问题 #18168。由 FeyFre 报告并修复)
- 修复 sip TCP/TLS 实现中的线程阻断问题。(解决问题 #18497。由 vois 报告。
由 vois、rossbeer、kowalma、Freddi_Fonet 测试。由 dvossel 修复)
- 监听 DTMF 功能时不会延迟核心网桥中的 DTMF。(解决问题 #15642、#16625。由 jasonshugart、sharvanek 报告。由 globalnetinc、jde 测试。
由 oej、twilson 修复)
- 修复 local_fixup() 中的 chan_local 崩溃。感谢 OEJ 跟踪问题及提交修补程序。
(解决问题 #19053。由 oej 报告并修复)
- 除非呼叫方也提供,否则不将视频提供给 directmedia 呼叫方(解决问题 #19195。由 one47 报告并修复)
此版本已解决其他安全公告 AST-2011-008、AST-2011-010 和 AST-2011-011。
有关此版本中完整的变更列表,请参阅变更日志:
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.6.2.1 9 Asterisk 开发团队已发布 Asterisk 1.4.41.1 版、1.6.2.18.1 版与 1.8.4.3 版,其为安全版本。
这些版本可供立即下载,网址是:http://downloads.asterisk.org/pub/telephony/asterisk/releases
Asterisk 1.4.41.1、1.6.2.18 和 1.8.4.3 版本解决以下多个问题:
- AST-2011-008:如果远程用户发送包含空值的 SIP 数据包,则当复制缓冲区时实际将其截断时,Asterisk 会假定可用数据延伸超过该空值至该数据包的末尾。这导致 SIP 标头解析修改超过缓冲区末尾的数据,从而改变不相关的内存结构。此漏洞不影响 TCP/TLS 连接器。-- 已在 1.6.2.18.1 和 1.8.4.3 中解决
- AST-2011-009:远程用户发送包含缺少左尖括号 (<) 的 Contact 标头的 SIP 数据包会导致 Asterisk 访问空指针。-- 已在 1.8.4.3 中解决
- AST-2011-010:内存地址通过选项控制框架经 IAX2 在网络上无意地传输,远程方会尝试访问该地址。--已在 1.4.41.1、1.6.2.18.1 和 1.8.4.3 中解决
AST-2011-008、AST-2011-009 和 AST-2011-010 安全公告中说明了这些问题和解决方法。
有关这些漏洞的更多详细信息,请参阅与此公告同时发布的安全公告 AST-2011-008、AST-2011-009 和 AST-2011-010。
有关当前版本中完整的变更列表,请参阅变更日志:
http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.4.41.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.6.2.18.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.4.3
安全公告 AST-2011-008、AST-2011-009 和 AST-2011-010 可以在以下网址获得:
http://downloads.asterisk.org/pub/security/AST-2011-008.pdf http://downloads.asterisk.org/pub/security/AST-2011-009.pdf http://downloads.asterisk.org/pub/security/AST-2011-010.pdf
请注意,Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。
解决方案
更新受影响的 asterisk 程序包。另见
http://downloads.asterisk.org/pub/security/AST-2011-008.pdf
http://downloads.asterisk.org/pub/security/AST-2011-009.pdf
http://downloads.asterisk.org/pub/security/AST-2011-010.pdf
http://downloads.asterisk.org/pub/telephony/asterisk/
http://www.nessus.org/u?34b848ec
http://downloads.asterisk.org/pub/telephony/asterisk/releases/
http://www.nessus.org/u?f623297e
http://www.nessus.org/u?0b0db8bb
http://www.nessus.org/u?4ab370c4
http://www.nessus.org/u?6789a211
https://wiki.asterisk.org/wiki/display/AST/Asterisk+Versions
插件详情
严重性: Medium
ID: 55581
文件名: fedora_2011-8914.nasl
版本: 1.16
类型: local
代理: unix
发布时间: 2011/7/13
最近更新时间: 2021/1/11
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
漏洞信息
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:14
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2011/6/30
漏洞发布日期: 2011/7/6
参考资料信息
CVE: CVE-2011-2529, CVE-2011-2535, CVE-2011-2665
BID: 48431
FEDORA: 2011-8914