FreeBSD:Asterisk -- 多种漏洞 (40544e8c-9f7b-11e0-9bec-6c626dd55a41)

medium Nessus 插件 ID 55430

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

Asterisk 开发团队报告:

AST-2011-008:如果远程用户发送包含空值的 SIP 数据包,则当复制缓冲区时实际将其截断时,Asterisk 会假定可用数据延伸超过该空值至该数据包的末尾。这导致 SIP 标头解析修改超过缓冲区末尾的数据,从而改变不相关的内存结构。此漏洞不影响 TCP/TLS 连接器。

AST-2011-009:远程用户发送包含缺少左尖括号的 Contact 标头的 SIP 数据包会导致 Asterisk 访问空指针。

AST-2011-010:无意间通过选项控制框架经 IAX2 在网络上传输内存地址,可导致远程用户尝试访问该地址。

由于不同的认证响应,可能导致枚举 SIP 用户的问题。

解决方案

更新受影响的程序包。

另见

http://downloads.asterisk.org/pub/security/AST-2011-008.html

http://downloads.asterisk.org/pub/security/AST-2011-009.html

http://downloads.asterisk.org/pub/security/AST-2011-010.html

http://downloads.asterisk.org/pub/security/AST-2011-011.html

http://www.nessus.org/u?85d49439

插件详情

严重性: Medium

ID: 55430

文件名: freebsd_pkg_40544e8c9f7b11e09bec6c626dd55a41.nasl

版本: 1.15

类型: local

发布时间: 2011/6/27

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 5

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

漏洞信息

CPE: cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:asterisk16, p-cpe:/a:freebsd:freebsd:asterisk18, p-cpe:/a:freebsd:freebsd:asterisk14

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2011/6/25

漏洞发布日期: 2011/6/24

参考资料信息

CVE: CVE-2011-2529, CVE-2011-2535, CVE-2011-2536