Fedora 21：asterisk-11.13.1-1.fc21 (2014-13399) (POODLE)

medium Nessus 插件 ID 78804

语言：

简介

远程 Fedora 主机缺少安全更新。

描述

- 2014 年 10 月 20 日，星期一，Jeffrey C. Ollie <jeff at ocjtech.us> - 11.13.1-1 Asterisk 开发团队发布了 Certified Asterisk 1.8.28 和 11.6 以及 Asterisk 1.8、11、12 和 13 的安全版本。可用的安全发行版本为 1.8.28-cert2、11.6-cert7、1.8.31.1、11.13.1、12.6.1 和 13.0.0-beta3。

这些版本可供立即下载，网址是：http://downloads.asterisk.org/pub/telephony/asterisk/releases

这些版本解决了以下安全漏洞：

- AST-2014-011：Asterisk 易受 POODLE 漏洞攻击

Asterisk 易受以下两种方式的 POODLE 漏洞攻击：1) res_jabber 和 res_xmpp 模块都将 SSLv3 专用于其加密的连接。2) Asterisk 中的核心 TLS 处理供 chan_sip 通道驱动程序、Asterisk Manager Interface (AMI) 和 Asterisk HTTP Server 使用，默认允许 TLS 连接回退到 SSLv3。这允许 MITM 可能强制连接回退到 SSLv3，从而将其暴露给 POODLE 漏洞。

结合此安全公告发布的版本中已解决这些问题。

有关此漏洞详情的详细信息，请阅读安全公告 AST-2014-011，该公告与本公告同时发布。

有关当前版本中完整的变更列表，请参阅变更日志：

http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-1.8.28-cert2 http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-11.6-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-1.8.31.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-11.13.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-12.6.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-13.0.0-beta3

以下网址提供了安全公告：

- http://downloads.asterisk.org/pub/security/AST-2014-011。
pdf

- 2014 年 10 月 20 日，星期一，Jeffrey C. Ollie <jeff at ocjtech.us> - 11.13.0-1 Asterisk 开发团队发布了 Asterisk 11.13.0 版本。此版本可供立即下载，网址是：http://downloads.asterisk.org/pub/telephony/asterisk

Asterisk 11.13.0 版本解决了由社区报告的若干问题，没有您的参与，不可能解决这些问题。谢谢！

以下是此版本中已解决的问题：

此版本中修复的缺陷：

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。