Fedora 19:asterisk-11.10.2-2.fc19 (2014-7570)

medium Nessus 插件 ID 77769

简介

远程 Fedora 主机缺少安全更新。

描述

Asterisk 开发团队发布了 Certified Asterisk 1.8.15、11.6 及 Asterisk 1.8、11 和 12 的安全版本。可用的安全版本为版本 1.8.15-cert7、11.6-cert4、1.8.28.2、11.10.2 和 12.3.2。

这些版本可供立即下载,网址是:http://downloads.asterisk.org/pub/telephony/asterisk/releases

这些版本解决了之前在 1.8.15-cert6、11.6-cert3、1.8.28.1、11.10.1 和 12.3.1 中修复的安全漏洞。
不幸的是,针对 AST-2014-007 的补丁不慎在 Asterisk 的 TCP 和 TLS 处理中引入了回归,从而阻止了 Asterisk 通过这些传输发送数据。已在此版本声明中指定的版本中修复此回归和安全漏洞。

已使用针对回归的补丁更新 AST-2014-007 的安全修补程序,这些修补程序现在可从以下网址获取:http://downloads.asterisk.org/pub/security

请注意,这些版本解决了以下安全漏洞:

- AST-2014-005:PJSIP 通道驱动程序的发布/订阅框架中的远程崩溃

- AST-2014-006:通过 Asterisk 管理器用户未授权的 Shell 访问导致的权限升级

- AST-2014-007:通过耗尽允许的并发 HTTP 连接导致的拒绝服务

- AST-2014-008:PJSIP 通道驱动程序订阅中的拒绝服务

有关这些漏洞的详细信息,请参阅通过先前版本发布的安全公告 AST-2014-005、AST-2014-006、AST-2014-007 和 AST-2014-008,上述漏洞在这些先前版本中得到解决。

有关当前版本中完整的变更列表,请参阅变更日志:

http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.15-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.28.2 http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-11.6-cert4 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.10.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-12.3.2

安全公告请参阅:

- http://downloads.asterisk.org/pub/security/AST-2014-005。
pdf

- http://downloads.asterisk.org/pub/security/AST-2014-00 6.pdf

- http://downloads.asterisk.org/pub/security/AST-2014-00 7.pdf

- http://downloads.asterisk.org/pub/security/AST-2014-00 8.pdf

Asterisk 开发团队发布了 Certified Asterisk 1.8.15、11.6 及 Asterisk 1.8、11 和 12 的安全版本。可用的安全版本为版本 1.8.15-cert6、11.6-cert3、1.8.28.1、11.10.1 和 12.3.1。

这些版本可供立即下载,网址是:http://downloads.asterisk.org/pub/telephony/asterisk/releases

这些版本解决了以下问题:

- AST-2014-007:通过耗尽允许的并发 HTTP 连接导致的拒绝服务

如果在 http.conf 中分别建立到配置的 HTTP 或 HTTPS 端口的 TCP 或 TLS 连接,但之后不发送 HTTP 请求也不完成 HTTP 请求,则会占用 HTTP 会话。重复执行此操作直至达到开放 HTTP 会话的最大数量,就会阻断合法请求。

此外,11.6-cert3、11.10.1 和 12.3.1 版本解决了以下问题:

- AST-2014-006:通过 Asterisk 管理器用户未授权的 Shell 访问导致的权限升级

管理器用户可以通过 MixMonitor 管理器操作执行任意 shell 命令。Asterisk 允许管理器用户在没有系统类授权的情况下使用 MixMonitor 操作,因此任何获准使用管理器命令的管理器用户都有可能以执行 Asterisk 进程的用户身份执行 shell 命令。

此外,12.3.1 版本解决了以下问题:

- AST-2014-005:PJSIP 通道驱动程序的发布/订阅框架中的远程崩溃

PJSIP 通道驱动程序的发布/订阅框架中存在可远程利用的崩溃漏洞。如果尝试在当前未订阅的情况下取消订阅,并且将端点的“sub_min_expiry”设为零,则 Asterisk 会尝试创建含零秒的到期定时器,而这是不允许的,因此会引发断言。

- AST-2014-008:PJSIP 通道驱动程序订阅中的拒绝服务

SIP 事务超时导致订阅终止时,Asterisk 执行相应的操作,确保死锁提供 SIP 请求的线程。请注意,只有已建立的订阅中才会出现这种行为,这就意味着攻击者只有绕过认证并成功订阅 Asterisk 服务器上的真实资源,才能利用此漏洞。

这些问题及其解决方法在安全公告中说明。

有关这些漏洞的更多详细信息,请参阅与此公告同时发布的安全公告 AST-2014-005、AST-2014-006、AST-2014-007 和 AST-2014-008。

有关当前版本中完整的变更列表,请参阅变更日志:

http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.15-cert6 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.28.1 http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-11.6-cert3 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.10.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-12.3.1

Asterisk 开发团队已通告了 Asterisk 11.10.0 版本的发布。此版本可供立即下载,网址是:http://downloads.asterisk.org/pub/telephony/asterisk

Asterisk 11.10.0 版本解决了由社区报告的若干问题,没有您的参与,不可能解决这些问题。谢谢!

以下是此版本中已解决的问题:

此版本中修复的缺陷:

请注意,Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

解决方案

更新受影响的 asterisk 程序包。

另见

http://downloads.asterisk.org/pub/security/

http://downloads.asterisk.org/pub/security/AST-2014-005.pdf

http://downloads.asterisk.org/pub/security/AST-2014-006.pdf

http://downloads.asterisk.org/pub/security/AST-2014-007.pdf

http://downloads.asterisk.org/pub/security/AST-2014-008.pdf

http://downloads.asterisk.org/pub/telephony/asterisk/

http://downloads.asterisk.org/pub/telephony/asterisk/releases/

http://www.nessus.org/u?95c079df

http://www.nessus.org/u?2dca7a1f

http://www.nessus.org/u?dd99d03c

http://www.nessus.org/u?050e7912

http://www.nessus.org/u?12bda26e

http://www.nessus.org/u?7c6cd6b3

http://www.nessus.org/u?98e4995b

http://www.nessus.org/u?b3e371d8

http://www.nessus.org/u?7d60d352

http://www.nessus.org/u?919a96f7

https://bugzilla.redhat.com/show_bug.cgi?id=1109284

http://www.nessus.org/u?38538cb1

插件详情

严重性: Medium

ID: 77769

文件名: fedora_2014-7570.nasl

版本: 1.8

类型: local

代理: unix

发布时间: 2014/9/22

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 4.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:19

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2014/6/21

漏洞发布日期: 2014/6/17

参考资料信息

CVE: CVE-2014-4047

BID: 68036

FEDORA: 2014-7570