Fedora 19：asterisk-11.10.2-2.fc19 (2014-7570)

medium Nessus 插件 ID 77769

语言：

简介

远程 Fedora 主机缺少安全更新。

描述

Asterisk 开发团队发布了 Certified Asterisk 1.8.15、11.6 及 Asterisk 1.8、11 和 12 的安全版本。可用的安全版本为版本 1.8.15-cert7、11.6-cert4、1.8.28.2、11.10.2 和 12.3.2。

这些版本可供立即下载，网址是：http://downloads.asterisk.org/pub/telephony/asterisk/releases

这些版本解决了之前在 1.8.15-cert6、11.6-cert3、1.8.28.1、11.10.1 和 12.3.1 中修复的安全漏洞。
不幸的是，针对 AST-2014-007 的补丁不慎在 Asterisk 的 TCP 和 TLS 处理中引入了回归，从而阻止了 Asterisk 通过这些传输发送数据。已在此版本声明中指定的版本中修复此回归和安全漏洞。

已使用针对回归的补丁更新 AST-2014-007 的安全修补程序，这些修补程序现在可从以下网址获取：http://downloads.asterisk.org/pub/security

请注意，这些版本解决了以下安全漏洞：

- AST-2014-005：PJSIP 通道驱动程序的发布/订阅框架中的远程崩溃

- AST-2014-006：通过 Asterisk 管理器用户未授权的 Shell 访问导致的权限升级

- AST-2014-007：通过耗尽允许的并发 HTTP 连接导致的拒绝服务

- AST-2014-008：PJSIP 通道驱动程序订阅中的拒绝服务

有关这些漏洞的详细信息，请参阅通过先前版本发布的安全公告 AST-2014-005、AST-2014-006、AST-2014-007 和 AST-2014-008，上述漏洞在这些先前版本中得到解决。

有关当前版本中完整的变更列表，请参阅变更日志：

http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.15-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.28.2 http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-11.6-cert4 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.10.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-12.3.2

安全公告请参阅：

- http://downloads.asterisk.org/pub/security/AST-2014-005。
pdf

- http://downloads.asterisk.org/pub/security/AST-2014-00 6.pdf

- http://downloads.asterisk.org/pub/security/AST-2014-00 7.pdf

- http://downloads.asterisk.org/pub/security/AST-2014-00 8.pdf

Asterisk 开发团队发布了 Certified Asterisk 1.8.15、11.6 及 Asterisk 1.8、11 和 12 的安全版本。可用的安全版本为版本 1.8.15-cert6、11.6-cert3、1.8.28.1、11.10.1 和 12.3.1。

这些版本可供立即下载，网址是：http://downloads.asterisk.org/pub/telephony/asterisk/releases

这些版本解决了以下问题：

- AST-2014-007：通过耗尽允许的并发 HTTP 连接导致的拒绝服务

如果在 http.conf 中分别建立到配置的 HTTP 或 HTTPS 端口的 TCP 或 TLS 连接，但之后不发送 HTTP 请求也不完成 HTTP 请求，则会占用 HTTP 会话。重复执行此操作直至达到开放 HTTP 会话的最大数量，就会阻断合法请求。

此外，11.6-cert3、11.10.1 和 12.3.1 版本解决了以下问题：

- AST-2014-006：通过 Asterisk 管理器用户未授权的 Shell 访问导致的权限升级

管理器用户可以通过 MixMonitor 管理器操作执行任意 shell 命令。Asterisk 允许管理器用户在没有系统类授权的情况下使用 MixMonitor 操作，因此任何获准使用管理器命令的管理器用户都有可能以执行 Asterisk 进程的用户身份执行 shell 命令。

此外，12.3.1 版本解决了以下问题：

- AST-2014-005：PJSIP 通道驱动程序的发布/订阅框架中的远程崩溃

PJSIP 通道驱动程序的发布/订阅框架中存在可远程利用的崩溃漏洞。如果尝试在当前未订阅的情况下取消订阅，并且将端点的“sub_min_expiry”设为零，则 Asterisk 会尝试创建含零秒的到期定时器，而这是不允许的，因此会引发断言。

- AST-2014-008：PJSIP 通道驱动程序订阅中的拒绝服务

SIP 事务超时导致订阅终止时，Asterisk 执行相应的操作，确保死锁提供 SIP 请求的线程。请注意，只有已建立的订阅中才会出现这种行为，这就意味着攻击者只有绕过认证并成功订阅 Asterisk 服务器上的真实资源，才能利用此漏洞。

这些问题及其解决方法在安全公告中说明。

有关这些漏洞的更多详细信息，请参阅与此公告同时发布的安全公告 AST-2014-005、AST-2014-006、AST-2014-007 和 AST-2014-008。

有关当前版本中完整的变更列表，请参阅变更日志：

http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.15-cert6 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.28.1 http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-11.6-cert3 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.10.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-12.3.1

Asterisk 开发团队已通告了 Asterisk 11.10.0 版本的发布。此版本可供立即下载，网址是：http://downloads.asterisk.org/pub/telephony/asterisk

Asterisk 11.10.0 版本解决了由社区报告的若干问题，没有您的参与，不可能解决这些问题。谢谢！

以下是此版本中已解决的问题：

此版本中修复的缺陷：

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。