FreeBSD:asterisk -- 多种漏洞 (f109b02f-f5a4-11e3-82e9-00a098b18457)
medium Nessus 插件 ID 76103
语言:
简介
远程 FreeBSD 主机缺少一个或多个与安全有关的更新。描述
Asterisk 项目报告:Asterisk 管理器用户未授权 Shell 访问。管理器用户可以通过 MixMonitor 管理器操作执行任意 shell 命令。
Asterisk 允许管理器用户在没有系统类授权的情况下使用 MixMonitor 操作,因此任何获准使用管理器命令的管理器用户都有可能以执行 Asterisk 进程的用户身份执行 shell 命令。
耗尽允许的并发 HTTP 连接。如果在 http.conf 中分别建立到配置的 HTTP 或 HTTPS 端口的 TCP 或 TLS 连接,但之后不发送 HTTP 请求也不完成 HTTP 请求,则会占用 HTTP 会话。重复执行此操作直至达到开放 HTTP 会话的最大数量,就会阻断合法请求。
解决方案
更新受影响的数据包。另见
http://downloads.asterisk.org/pub/security/AST-2014-006.pdf
http://downloads.asterisk.org/pub/security/AST-2014-007.pdf
插件详情
严重性: Medium
ID: 76103
文件名: freebsd_pkg_f109b02ff5a411e382e900a098b18457.nasl
版本: 1.8
类型: local
发布时间: 2014/6/18
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 6.5
矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
漏洞信息
CPE: cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:asterisk18, p-cpe:/a:freebsd:freebsd:asterisk11
必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
补丁发布日期: 2014/6/17
漏洞发布日期: 2014/6/12
参考资料信息
CVE: CVE-2014-4046, CVE-2014-4047