描述
- 2014 年 10 月 20 日,星期一,Jeffrey C. Ollie <jeff at ocjtech.us> - 11.13.1-1 Asterisk 开发团队发布了 Certified Asterisk 1.8.28 和 11.6 以及 Asterisk 1.8、11、12 和 13 的安全版本。可用的安全发行版本为 1.8.28-cert2、11.6-cert7、1.8.31.1、11.13.1、12.6.1 和 13.0.0-beta3。
这些版本可供立即下载,网址是:http://downloads.asterisk.org/pub/telephony/asterisk/releases
这些版本解决了以下安全漏洞:
- AST-2014-011:Asterisk 易受 POODLE 漏洞攻击
Asterisk 易受以下两种方式的 POODLE 漏洞攻击:1) res_jabber 和 res_xmpp 模块都将 SSLv3 专用于其加密的连接。2) Asterisk 中的核心 TLS 处理供 chan_sip 通道驱动程序、Asterisk Manager Interface (AMI) 和 Asterisk HTTP Server 使用,默认允许 TLS 连接回退到 SSLv3。这允许 MITM 可能强制连接回退到 SSLv3,从而将其暴露给 POODLE 漏洞。
结合此安全公告发布的版本中已解决这些问题。
有关此漏洞详情的详细信息,请阅读安全公告 AST-2014-011,该公告与本公告同时发布。
有关当前版本中完整的变更列表,请参阅变更日志:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-1.8.28-cert2 http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-11.6-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-1.8.31.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-11.13.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-12.6.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-13.0.0-beta3
以下网址提供了安全公告:
- http://downloads.asterisk.org/pub/security/AST-2014-011。
pdf
- 2014 年 10 月 20 日,星期一,Jeffrey C. Ollie <jeff at ocjtech.us> - 11.13.0-1 Asterisk 开发团队发布了 Asterisk 11.13.0 版本。此版本可供立即下载,网址是:http://downloads.asterisk.org/pub/telephony/asterisk
Asterisk 11.13.0 版本解决了由社区报告的若干问题,没有您的参与,不可能解决这些问题。谢谢!
以下是此版本中已解决的问题:
此版本中修复的缺陷:
请注意,Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。
插件详情
文件名: fedora_2014-13399.nasl
代理: unix
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N
漏洞信息
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:21
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
易利用性: Exploits are available