Fedora 18：asterisk-10.7.1-2.fc18 (2012-13286)

high Nessus 插件 ID 62148

语言：

简介

远程 Fedora 主机缺少安全更新。

描述

修复 s390 上的版本 Asterisk 开发团队宣布发行 Certified Asterisk 1.8.11 以及 Asterisk 1.8 和 10 的安全版本。可用的安全发行版本为 1.8.11-cert7、1.8.15.1、10.7.1 和 10.7.1-digiumphones。

这些版本可供立即下载，网址是：http://downloads.asterisk.org/pub/telephony/asterisk/releases

Asterisk 版本 1.8.11-cert7、1.8.15.1、10.7.1 和 10.7.1-digiumphones 解决了以下两个问题：

- Asterisk 管理器界面中的一个权限升级漏洞。已经认证的远程用户可能可利用此缺陷，以运行 Asterisk 应用程序的用户的权限对系统 shell 执行命令。请注意，Asterisk 随附的 README-SERIOUSLY.bestpractices.txt 文件已经因此而更新，修复了 Asterisk 之前版本中的其他相关漏洞。

- 使用动态 Asterisk 实时架构 (ARA) 后端中定义的对等机凭据调用 IAX2 时，该对等机的 ACL 规则不会应用到调用尝试。这可让知道对等机凭据的远程攻击者绕过为该对等机设置的 ACL 规则。

这些问题及其解决方法在安全公告中说明。

有关这些漏洞的更多详细信息，请参阅与此公告同时发布的安全公告 AST-2012-012 和 AST-2012-013。

有关当前版本中完整的变更列表，请参阅变更日志：

http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-1.8.11-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-1.8.15.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-10.7.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-10.7.1-digiumphones

安全公告请参阅：

- http://downloads.asterisk.org/pub/security/AST-2012-012。
pdf

- http://downloads.asterisk.org/pub/security/AST-2012-01 3.pdf

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。