FreeBSD: asterisk -- RTP/RTCP情報の漏洩(c2ea3b31-9d75-11e7-bb13-001999f8d30b)
high Nessus プラグイン ID 103346
Language:
概要
リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。説明
Asterisk プロジェクトによる報告:これはAST-2017-005に対するフォローアップアドバイザリです。
RTCPパケットの検証が不十分な場合は、古いバッファの内容が読み取られる可能性があり、「nat」オプションおよび「symmetric_rtp」オプションと組み合わせると、Asteriskが次のRTCPレポートを送信する場所にリダイレクトできます。
メディアのソースアドレスを学習するためのRTPストリーム認定は、最初のRTPパケットを常に新しいソースとして受け入れ、 AST-2017-005によって緩和されるものを許可していました。新しいソースアドレスを受け入れる前に、一連のパケットを認定することが意図されていました。
RTP/RTCPスタックは、RTCPパケットを処理する前に検証するようになりました。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://downloads.asterisk.org/pub/security/AST-2017-008.html
プラグインの詳細
深刻度: High
ID: 103346
ファイル名: freebsd_pkg_c2ea3b319d7511e7bb13001999f8d30b.nasl
バージョン: 3.7
タイプ: local
公開日: 2017/9/20
更新日: 2021/1/4
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS v3
リスクファクター: High
基本値: 7.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:asterisk11, p-cpe:/a:freebsd:freebsd:asterisk13, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
パッチ公開日: 2017/9/19
脆弱性公開日: 2017/9/1
参照情報
CVE: CVE-2017-14099