Fedora 22：asterisk-13.3.2-1.fc22 (2015-5948)

medium Nessus 插件 ID 84910

语言：

简介

远程 Fedora 主机缺少安全更新。

描述

Asterisk 开发团队发布了 Certified Asterisk 1.8.28、11.6 和 13.1 以及 Asterisk 1.8、11、12 和 13 的安全版本。可用的安全版本为版本 1.8.28.cert-5、1.8.32.3、11.6-cert11、11.17.1、12.8.2、13.1-cert2 和 13.3.2。

这些版本可供立即下载，网址是：http://downloads.asterisk.org/pub/telephony/asterisk/releases

这些版本解决了以下安全漏洞：

- AST-2015-003：TLS 证书公用名空字节漏洞利用

Asterisk 注册到 SIP TLS 设备并且验证服务器后，Asterisk 将接受匹配公用名而非 Asterisk 预期的名称的签名证书（如果签名证书具有在 Asterisk 预期的公用名部分之后包含空字节的公用名）。这可能允许中间人攻击。

有关此漏洞详情的详细信息，请阅读安全公告 AST-2015-003，该公告与本公告同时发布。

有关当前版本中完整的变更列表，请参阅变更日志：

http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-1.8.28-cert5 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-1.8.32.3 http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-11.6-cert11 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-11.17.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-12.8.2 http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-13.1-cert2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-13.3.2

以下网址提供了安全公告：

- http://downloads.asterisk.org/pub/security/AST-2015-003。
pdf

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。