Fedora 18：asterisk-11.2.2-1.fc18 (2013-4566)

high Nessus 插件 ID 65836

语言：

简介

远程 Fedora 主机缺少安全更新。

描述

Asterisk 开发团队宣布推出针对 Certified Asterisk 1.8.15 以及 Asterisk 1.8、10 和 11 的安全版本。可用的安全发行版本为 1.8.15-cert2、1.8.20.2、10.12.2、10.12.2-digiumphones 和 11.2.2。

这些版本可供立即下载，网址是：http://downloads.asterisk.org/pub/telephony/asterisk/releases

这些版本解决了以下问题：

- 在 H.264 格式协商期间可能出现的缓冲区溢出。当解析 SDP 时，H.264 视频的格式属性资源对媒体属性执行不安全的读取。

此漏洞仅影响 Asterisk 11。

- Asterisk 的 HTTP 服务器存在拒绝服务。
AST-2012-014（于今年一月修复）包含针对 Asterisk 的 HTTP 服务器的远程触发崩溃的补丁。虽然该补丁阻止了崩溃的触发，但如果攻击者发送一个或多个带有非常大 Content-Length 值的 HTTP POST 请求，则该解决方案仍然存在拒绝服务矢量。

此漏洞影响 Certified Asterisk 1.8.15、Asterisk 1.8、10 和 11

- SIP 通道驱动程序中存在潜在的用户名泄露。当在启用 alwaysauthreject、禁用 allowguest 和 autocreatepeer 时对 SIP 请求进行认证，Asterisk 会以多种方式泄露是否存在“邀请”、“订阅”和“注册”事务的用户。

此漏洞影响 Certified Asterisk 1.8.15、Asterisk 1.8、10 和 11

这些问题及其解决方法在安全公告中说明。

有关这些漏洞的更多详细信息，请参阅与此公告同时发布的安全公告 AST-2013-001、AST-2013-002 和 AST-2013-003。

有关当前版本中完整的变更列表，请参阅变更日志：

http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.15-cert2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.20.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.12.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.12.2-digiumphones http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.2.2

安全公告请参阅：

- http://downloads.asterisk.org/pub/security/AST-2013-001。
pdf

- http://downloads.asterisk.org/pub/security/AST-2013-002.pdf

- http://downloads.asterisk.org/pub/security/AST-2013-00 3.pdf

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。