Fedora 20：asterisk-11.8.1-1.fc20 (2014-3762)

high Nessus 插件 ID 73141

语言：

简介

远程 Fedora 主机缺少安全更新。

描述

Asterisk 开发团队发布了 Certified Asterisk 1.8.15、11.6 及 Asterisk 1.8、11 和 12 的安全版本。可用的安全发行版本为 1.8.15-cert5、11.6-cert2、1.8.26.1、11.8.1 和 12.1.1。

这些版本可供立即下载，网址是：http://downloads.asterisk.org/pub/telephony/asterisk/releases

这些版本解决了以下问题：

- AST-2014-001：Cookie 标头的 HTTP 处理中存在堆栈溢出。

发送由 Asterisk 处理、含有大量 Cookie 标头的 HTTP 请求会使堆栈溢出。

另一个类似的漏洞是，请求中标头数量离谱的任何 HTTP 请求都可能耗尽系统内存。

- AST-2014-002：chan_sip：会话定时器请求错误时提早退出

此更改允许 chan_sip 在入站请求无论如何都会被拒绝时避免同时创建通道和耗用相关的文件描述符。

此外，12.1.1 版本解决了以下问题：

- AST-2014-003：res_pjsip：在处理 401/407 响应时，不会假设请求有端点。

此更改删除了外发请求始终有端点的假设，并且重新启用了 authenticate_qualify 选项。

最后，针对 Asterisk 12.1.0 中修复的漏洞发布了安全公告 AST-2014-004。建议 Asterisk 12.0.0 用户升级到 12.1.1 以解决这两个漏洞。

这些问题及其解决方法在安全公告中说明。

有关这些漏洞的更多详细信息，请参阅与此公告同时发布的安全公告 AST-2014-001、AST-2014-002、AST-2014-003 和 AST-2014-004。

有关当前版本中完整的变更列表，请参阅变更日志：

http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-1.8.15-cert5 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.26.1 http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-11.6-cert2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.8.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-12.1.1

安全公告请参阅：

- http://downloads.asterisk.org/pub/security/AST-2014-001。
pdf

- http://downloads.asterisk.org/pub/security/AST-2014-00 2.pdf

- http://downloads.asterisk.org/pub/security/AST-2014-00 3.pdf

- http://downloads.asterisk.org/pub/security/AST-2014-00 4.pdf Asterisk 开发团队已通告了 Asterisk 11.8.0 版本的发布。此版本可供立即下载，网址是：http://downloads.asterisk.org/pub/telephony/asterisk

Asterisk 11.8.0 版本解决了由社区报告的若干问题，没有您的参与，不可能解决这些问题。
谢谢！

以下是此版本中已解决的问题：

此版本中修复的缺陷：

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。