Fedora 17：asterisk-10.3.1-1.fc17 (2012-6704)

high Nessus 插件 ID 59002

语言：

简介

远程 Fedora 主机缺少安全更新。

描述

Asterisk 开发团队已发布 Asterisk 1.6.2、1.8 和 10 的安全版本。可用的安全发行版本为 1.6.2.24、1.8.11.1 和 10.3.1。

这些版本可供立即下载，网址是：http://downloads.asterisk.org/pub/telephony/asterisk/releases

Asterisk 版本 1.6.2.24、1.8.11.1 和 10.3.1 还解决了以下两个问题：

- Asterisk 管理器界面中的一个权限升级漏洞。已经认证的远程用户可能可利用此缺陷，以运行 Asterisk 应用程序的用户的权限对系统 shell 执行命令。

- Skinny Channel 驱动程序中的堆溢出漏洞。向缓冲区尾部附加收到的数字时，小键盘按键消息事件检查固定长度缓冲区的长度失败。经过认证的远程用户可以发送足够的小键盘按键消息事件，从而造成缓冲区溢出。

此外，Asterisk 1.8.11.1 和 10.3.1 的发行还解决了以下问题：

- 处理 UPDATE 请求时 SIP 通道驱动程序中存在的远程崩溃漏洞。如果收到了 SIP UPDATE 请求，表示需要在通道终止后但最终破坏关联的 SIP 对话之前更新连接的线路，Asterisk 将尝试在非现有通道中更新连接的线路，从而造成崩溃。

这些问题及其解决方法在安全公告中说明。

有关这些漏洞的更多详细信息，请参阅与此公告同时发布的安全公告 AST-2012-004、AST-2012-005 和 AST-2012-006。

有关当前版本中完整的变更列表，请参阅变更日志：

http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-1.6.2.24 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-1.8.11.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-10.3.1

安全公告请参阅：

- http://downloads.asterisk.org/pub/security/AST-2012-004。
pdf

- http://downloads.asterisk.org/pub/security/AST-2012-00 5.pdf

- http://downloads.asterisk.org/pub/security/AST-2012-00 6.pdf

更新到 1.8.11.0 更新到 1.8.10.1，修复了 2 个安全漏洞。

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。