Fedora 15:asterisk-1.8.4.4-2.fc15 (2011-8983)
medium Nessus 插件 ID 55582
语言:
简介
远程 Fedora 主机缺少安全更新。描述
从 EL6 和 F15 删除 systemd 依存关系 Asterisk 开发团队已发布 Asterisk 1.4.41.2、1.6.2.18.2 与 1.8.4.4 版本,均为安全版本。这些版本可供立即下载,网址是:http://downloads.asterisk.org/pub/telephony/asterisk/releases
Asterisk 1.4.41.2、1.6.2.18.2 和 1.8.4.4 版本解决了以下问题:
AST-2011-011:即使在配置中设置 alwaysauthreject 选项,Asterisk 响应来自无效 SIP 用户的 SIP 请求的方式,可能还是与响应来自系统配置用户的 SIP 请求的方式不同。这可能会泄漏 Asterisk 系统上有效 SIP 用户的相关信息。
有关此漏洞详情的详细信息,请阅读安全公告 AST-2011-011,该公告与本公告同时发布。
有关当前版本中完整的变更列表,请参阅变更日志:
http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-1.4.41.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-1.6.2.18.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-1.8.4.4
以下网址提供了安全公告 AST-2011-011:
http://downloads.asterisk.org/pub/security/AST-2011-011.pdf Asterisk 开发团队已发布 Asterisk 1.4.41.1、1.6.2.18.1 与 1.8.4.3 版本,均为安全版本。
这些版本可供立即下载,网址是:http://downloads.asterisk.org/pub/telephony/asterisk/releases
Asterisk 1.4.41.1、1.6.2.18 和 1.8.4.3 版本解决以下多个问题:
- AST-2011-008:如果远程用户发送包含空值的 SIP 数据包,则当复制缓冲区时实际将其截断时,Asterisk 会假定可用数据延伸超过该空值至该数据包的末尾。这导致 SIP 标头解析修改超过缓冲区末尾的数据,从而改变不相关的内存结构。此漏洞不影响 TCP/TLS 连接器。-- 已在 1.6.2.18.1 和 1.8.4.3 中解决
- AST-2011-009:远程用户发送包含缺少左尖括号 (<) 的 Contact 标头的 SIP 数据包会导致 Asterisk 访问空指针。-- 已在 1.8.4.3 中解决
- AST-2011-010:内存地址通过选项控制框架经 IAX2 在网络上无意地传输,远程方会尝试访问该地址。--已在 1.4.41.1、1.6.2.18.1 和 1.8.4.3 中解决
AST-2011-008、AST-2011-009 和 AST-2011-010 安全公告中说明了这些问题和解决方法。
有关这些漏洞的更多详细信息,请参阅与此公告同时发布的安全公告 AST-2011-008、AST-2011-009 和 AST-2011-010。
有关当前版本中完整的变更列表,请参阅变更日志:
http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.4.41.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.6.2.18.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.4.3
安全公告 AST-2011-008、AST-2011-009 和 AST-2011-010 可以在以下网址获得:
http://downloads.asterisk.org/pub/security/AST-2011-008.pdf http://downloads.asterisk.org/pub/security/AST-2011-009.pdf http://downloads.asterisk.org/pub/security/AST-2011-010.pdf
Asterisk 开发团队已公布发行 Asterisk 1.8.4.2 版,它是 Asterisk 1.8 的安全版本。
此版本可供立即下载,网址是:http://downloads.asterisk.org/pub/telephony/asterisk/releases
Asterisk 1.8.4.2 版解决了 SIP URI 解析的问题,其可导致出现可能被远程利用的崩溃情况:
SIP 通道驱动程序中的远程崩溃漏洞 (AST-2011-007)
此问题及其解决方法在 AST-2011-007 安全公告中说明。
有关此漏洞详情的详细信息,请阅读安全公告 AST-2011-007,该公告与本公告同时发布。
有关当前版本中完整的变更列表,请参阅变更日志:
http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.4.2
以下网址提供了安全公告 AST-2011-007:
http://downloads.asterisk.org/pub/security/AST-2011-007.pdf
Asterisk 开发团队已通告了 Asterisk 1.8.4.1 版本的发布。此版本可供立即下载,网址是:http://downloads.asterisk.org/pub/telephony/asterisk/
Asterisk 1.8.4.1 版解决了由社区报告的若干问题。您的帮助对此版本的发布不可或缺。谢谢!
以下是此版本中已解决问题的列表:
- 经过修复,符合 RFC 3261 第 18.2.2.节标准。(亦称为 Cisco 电话修复)(解决问题 #18951。此问题由 jmls 报告。
由 wdoekes 修复)
- 解决了一处因 Cisco 电话修复缺陷引起的 IPv6 标头解析的变动。此问题由 Asterisk 测试套件发现并报告。(解决问题 #18951。由 mnicholson 修复)
- 解决了使用 SIP TLS 支持时的潜在崩溃问题。
(解决问题 #19192。此问题由 stknob 报告。由 Chainsaw 修复。由 vois、Chainsaw 测试)
- 提升了使用 SIP TLS 时的可靠性。(解决问题 #19182。由 st. 报告,由 mnicholson 修复)
有关此候选版本中的完整变更列表,请参阅变更日志:
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.8.4.1
Asterisk 开发团队已通告了 Asterisk 1.8.4 版本的发布。此版本可供立即下载,网址是:http://downloads.asterisk.org/pub/telephony/asterisk/
Asterisk 1.8.4 版解决了由社区报告的若干问题。您的帮助对此版本的发布不可或缺。谢谢!
以下是此版本中已解决问题的一个示例:
- 使用 SSLv23_client_method 仅替代先前的 SSLv2。
(解决问题 #19095、#19138。由 tzafrir 报告并修复。由 russell 与 chazzam 测试。
- 解决 ast_mutex_init() 中的崩溃(由 twilson 修复)
- 解决了多个基于 DTMF 的指定转接问题。(解决问题 #17999、#17096、#18395、#17273。
此问题由 iskatel、gelo、shihchuan、grecco 报告。由 rmudgett 修复)
注意:请务必阅读变更日志以获取有关这些变更的更多信息。
- 解决 chan_sip 中与设备状态相关的死锁(解决问题 #18310。由 one47 报告并修复。
由 jpeeler 修复)
- 解决了禁用 Asterisk 管理接口后泄漏内存的问题。(由 kmorgan 内部报告。由 russellb 修复)
- 支持在 voicemail.conf.sample 中将 greetingsfolder 作为文档记录。(解决问题 #17870。此问题由 edhorton 报告。由 seanbright 修复)
- 修复了通道重定向在 MeetMe() 之外以及与通道 softhangup 有关的其他问题(解决问题 #18585。此问题由 oej 报告。由 oej、wedhorn、russellb 测试。由 russellb 修复)
- 修复基于文件存储的语音邮件序列。(解决问题 #18498、#18486。此问题由 JJCinAZ、bluefox 报告。
由 jpeeler 修复)
- 远端返回忙碌状态时,在 local_hangup 中设置挂起原因,使得使用本地通道时正确地返回代码 486 而不是 503。同时还会影响 Asterisk 1.8+ 中的 CCSS。(由 twilson 修复)
- 修复了没有输出到控制台的详细消息的问题。(解决问题 #18580。此问题由 pabelanger 报告。
由 qwell 修复)
- 修复了 SIP 调用指定转接的死锁问题(解决问题 #18837。由 alecdavis 报告并修复。由 alecdavid、Irontec、ZX81、cmaj 测试)
包含 AST-2011-005 和 AST-2011-006 各自的变更 有关此候选版本中的完整变更列表,请参阅变更日志:
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.8.4
有关安全版本的信息,请参阅:
http://downloads.asterisk.org/pub/security/AST-2011-005.pdf http://downloads.asterisk.org/pub/security/AST-2011-006.pdf
请注意,Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。
解决方案
更新受影响的 asterisk 程序包。另见
http://downloads.asterisk.org/pub/security/AST-2011-005.pdf
http://downloads.asterisk.org/pub/security/AST-2011-006.pdf
http://downloads.asterisk.org/pub/security/AST-2011-007.pdf
http://downloads.asterisk.org/pub/security/AST-2011-008.pdf
http://downloads.asterisk.org/pub/security/AST-2011-009.pdf
http://downloads.asterisk.org/pub/security/AST-2011-010.pdf
http://downloads.asterisk.org/pub/security/AST-2011-011.pdf
http://downloads.asterisk.org/pub/telephony/asterisk/
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.8.4
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.8.4.1
http://downloads.asterisk.org/pub/telephony/asterisk/releases/
http://www.nessus.org/u?f623297e
http://www.nessus.org/u?522eebb4
http://www.nessus.org/u?0b0db8bb
http://www.nessus.org/u?c9ade373
http://www.nessus.org/u?9fbe6608
http://www.nessus.org/u?4ab370c4
http://www.nessus.org/u?def551e4
插件详情
严重性: Medium
ID: 55582
文件名: fedora_2011-8983.nasl
版本: 1.13
类型: local
代理: unix
发布时间: 2011/7/13
最近更新时间: 2021/1/11
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 4.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
漏洞信息
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:15
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2011/7/2
漏洞发布日期: 2011/6/6
参考资料信息
CVE: CVE-2011-2216
BID: 48096
FEDORA: 2011-8983