检测

Mandriva Linux 安全公告:asterisk (MDVSA-2014:078)

high Nessus 插件 ID 73582

语言:

简介

远程 Mandriva Linux 主机缺少一个或多个安全更新。

描述

已在 asterisk 中发现并修正了多种漏洞:

发送由 Asterisk 处理、含有大量 Cookie 标头的 HTTP 请求会使堆栈溢出。如果通过请求发送数量不受限制的标头,甚至可耗尽内存 (CVE-2014-2286)。

攻击者可在使用 SIP INVITE 请求时利用所有可用文件描述符。Asterisk 将使用代码 400、420 或 422 来响应满足此条件的 INVITE。每个满足这些条件的 INVITE 都将泄漏一个通道和多个文件描述符。不重新启动 Asterisk 则不能释放文件描述符,这可能允许通过缓慢发送请求绕过入侵检测系统 (CVE-2014-2287)。

更新后的程序包已升级为 11.8.1 版本,不易受到这些问题的影响。

解决方案

更新受影响的数据包。

另见

http://downloads.asterisk.org/pub/security/AST-2014-001.html

http://downloads.asterisk.org/pub/security/AST-2014-002.html

http://www.nessus.org/u?14c01017

插件详情

严重性: High

ID: 73582

文件名: mandriva_MDVSA-2014-078.nasl

版本: 1.11

类型: local

发布时间: 2014/4/17

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:mandriva:linux:asterisk, p-cpe:/a:mandriva:linux:asterisk-addons, p-cpe:/a:mandriva:linux:asterisk-devel, p-cpe:/a:mandriva:linux:asterisk-firmware, p-cpe:/a:mandriva:linux:asterisk-gui, p-cpe:/a:mandriva:linux:asterisk-plugins-alsa, p-cpe:/a:mandriva:linux:asterisk-plugins-calendar, p-cpe:/a:mandriva:linux:asterisk-plugins-cel, p-cpe:/a:mandriva:linux:asterisk-plugins-corosync, p-cpe:/a:mandriva:linux:asterisk-plugins-curl, p-cpe:/a:mandriva:linux:asterisk-plugins-dahdi, p-cpe:/a:mandriva:linux:asterisk-plugins-fax, p-cpe:/a:mandriva:linux:asterisk-plugins-festival, p-cpe:/a:mandriva:linux:asterisk-plugins-ices, p-cpe:/a:mandriva:linux:asterisk-plugins-jabber, p-cpe:/a:mandriva:linux:asterisk-plugins-jack, p-cpe:/a:mandriva:linux:asterisk-plugins-ldap, p-cpe:/a:mandriva:linux:asterisk-plugins-lua, p-cpe:/a:mandriva:linux:asterisk-plugins-minivm, p-cpe:/a:mandriva:linux:asterisk-plugins-mobile, p-cpe:/a:mandriva:linux:asterisk-plugins-mp3, p-cpe:/a:mandriva:linux:asterisk-plugins-mysql, p-cpe:/a:mandriva:linux:asterisk-plugins-ooh323, p-cpe:/a:mandriva:linux:asterisk-plugins-osp, p-cpe:/a:mandriva:linux:asterisk-plugins-oss, p-cpe:/a:mandriva:linux:asterisk-plugins-pgsql, p-cpe:/a:mandriva:linux:asterisk-plugins-pktccops, p-cpe:/a:mandriva:linux:asterisk-plugins-portaudio, p-cpe:/a:mandriva:linux:asterisk-plugins-radius, p-cpe:/a:mandriva:linux:asterisk-plugins-saycountpl, p-cpe:/a:mandriva:linux:asterisk-plugins-skinny, p-cpe:/a:mandriva:linux:asterisk-plugins-snmp, p-cpe:/a:mandriva:linux:asterisk-plugins-speex, p-cpe:/a:mandriva:linux:asterisk-plugins-sqlite, p-cpe:/a:mandriva:linux:asterisk-plugins-tds, p-cpe:/a:mandriva:linux:asterisk-plugins-unistim, p-cpe:/a:mandriva:linux:asterisk-plugins-voicemail, p-cpe:/a:mandriva:linux:asterisk-plugins-voicemail-imap, p-cpe:/a:mandriva:linux:asterisk-plugins-voicemail-plain, p-cpe:/a:mandriva:linux:lib64asteriskssl1, cpe:/o:mandriva:business_server:1

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2014/4/16

参考资料信息

CVE: CVE-2014-2286, CVE-2014-2287

BID: 66093, 66094

MDVSA: 2014:078