描述
Asterisk 开发团队发布了 Certified Asterisk 1.8.15、11.6 及 Asterisk 1.8、11 和 12 的安全版本。可用的安全版本为版本 1.8.15-cert7、11.6-cert4、1.8.28.2、11.10.2 和 12.3.2。
这些版本可供立即下载,网址是:http://downloads.asterisk.org/pub/telephony/asterisk/releases
这些版本解决了之前在 1.8.15-cert6、11.6-cert3、1.8.28.1、11.10.1 和 12.3.1 中修复的安全漏洞。
不幸的是,针对 AST-2014-007 的补丁不慎在 Asterisk 的 TCP 和 TLS 处理中引入了回归,从而阻止了 Asterisk 通过这些传输发送数据。已在此版本声明中指定的版本中修复此回归和安全漏洞。
已使用针对回归的补丁更新 AST-2014-007 的安全修补程序,这些修补程序现在可从以下网址获取:http://downloads.asterisk.org/pub/security
请注意,这些版本解决了以下安全漏洞:
- AST-2014-005:PJSIP 通道驱动程序的发布/订阅框架中的远程崩溃
- AST-2014-006:通过 Asterisk 管理器用户未授权的 Shell 访问导致的权限升级
- AST-2014-007:通过耗尽允许的并发 HTTP 连接导致的拒绝服务
- AST-2014-008:PJSIP 通道驱动程序订阅中的拒绝服务
有关这些漏洞的详细信息,请参阅通过先前版本发布的安全公告 AST-2014-005、AST-2014-006、AST-2014-007 和 AST-2014-008,上述漏洞在这些先前版本中得到解决。
有关当前版本中完整的变更列表,请参阅变更日志:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.15-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.28.2 http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-11.6-cert4 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.10.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-12.3.2
安全公告请参阅:
- http://downloads.asterisk.org/pub/security/AST-2014-005。
pdf
- http://downloads.asterisk.org/pub/security/AST-2014-00 6.pdf
- http://downloads.asterisk.org/pub/security/AST-2014-00 7.pdf
- http://downloads.asterisk.org/pub/security/AST-2014-00 8.pdf
Asterisk 开发团队发布了 Certified Asterisk 1.8.15、11.6 及 Asterisk 1.8、11 和 12 的安全版本。可用的安全版本为版本 1.8.15-cert6、11.6-cert3、1.8.28.1、11.10.1 和 12.3.1。
这些版本可供立即下载,网址是:http://downloads.asterisk.org/pub/telephony/asterisk/releases
这些版本解决了以下问题:
- AST-2014-007:通过耗尽允许的并发 HTTP 连接导致的拒绝服务
如果在 http.conf 中分别建立到配置的 HTTP 或 HTTPS 端口的 TCP 或 TLS 连接,但之后不发送 HTTP 请求也不完成 HTTP 请求,则会占用 HTTP 会话。重复执行此操作直至达到开放 HTTP 会话的最大数量,就会阻断合法请求。
此外,11.6-cert3、11.10.1 和 12.3.1 版本解决了以下问题:
- AST-2014-006:通过 Asterisk 管理器用户未授权的 Shell 访问导致的权限升级
管理器用户可以通过 MixMonitor 管理器操作执行任意 shell 命令。Asterisk 允许管理器用户在没有系统类授权的情况下使用 MixMonitor 操作,因此任何获准使用管理器命令的管理器用户都有可能以执行 Asterisk 进程的用户身份执行 shell 命令。
此外,12.3.1 版本解决了以下问题:
- AST-2014-005:PJSIP 通道驱动程序的发布/订阅框架中的远程崩溃
PJSIP 通道驱动程序的发布/订阅框架中存在可远程利用的崩溃漏洞。如果尝试在当前未订阅的情况下取消订阅,并且将端点的“sub_min_expiry”设为零,则 Asterisk 会尝试创建含零秒的到期定时器,而这是不允许的,因此会引发断言。
- AST-2014-008:PJSIP 通道驱动程序订阅中的拒绝服务
SIP 事务超时导致订阅终止时,Asterisk 执行相应的操作,确保死锁提供 SIP 请求的线程。请注意,只有已建立的订阅中才会出现这种行为,这就意味着攻击者只有绕过认证并成功订阅 Asterisk 服务器上的真实资源,才能利用此漏洞。
这些问题及其解决方法在安全公告中说明。
有关这些漏洞的更多详细信息,请参阅与此公告同时发布的安全公告 AST-2014-005、AST-2014-006、AST-2014-007 和 AST-2014-008。
有关当前版本中完整的变更列表,请参阅变更日志:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.15-cert6 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.28.1 http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-11.6-cert3 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.10.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-12.3.1
Asterisk 开发团队已通告了 Asterisk 11.10.0 版本的发布。此版本可供立即下载,网址是:http://downloads.asterisk.org/pub/telephony/asterisk
Asterisk 11.10.0 版本解决了由社区报告的若干问题,没有您的参与,不可能解决这些问题。谢谢!
以下是此版本中已解决的问题:
此版本中修复的缺陷:
请注意,Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。
插件详情
文件名: fedora_2014-7570.nasl
代理: unix
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
漏洞信息
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:19
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
易利用性: No known exploits are available