Debian DSA-1952-1：asterisk - 複数の脆弱性、旧安定版（oldstable）の生産終了通知

high Nessus プラグイン ID 44817

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

オープンソース PBX およびテレフォニーツールキットである Asterisk で、複数の脆弱性が発見されました。Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています：

- CVE-2009-0041 asterisk からの IAX2 応答のため、プローブによって有効なログイン名を決定できる可能性があります（AST-2009-001）。

- CVE-2008-3903 ダイジェスト認証および authalwaysreject が有効であると、有効な SIP ユーザー名を決定することができます（AST-2009-003）。

- CVE-2009-3727 複数の細工された REGISTER メッセージによって、有効な SIP ユーザー名を決定することができます（AST-2009-008）。

- CVE-2008-7220 CVE-2007-2383 asterisk に、Prototype JavaScript フレームワークの旧式のコピーが含まれており、複数のセキュリティの問題に脆弱であることが判明しました。このコピーは使用されておらず、asterisk から削除されています（AST-2009-009）。

- CVE-2009-4055 データ長が長い RTP コンフォートノイズのペイロードによる DoS 攻撃（サービス拒否攻撃）を行うことが可能であると判明しました（AST-2009-010）。

旧安定版（oldstable）の現在のバージョンは、上流ではサポートされなくなり、複数のセキュリティ問題の影響を受けています。これらはバックポートで修正され、将来問題が起こる可能性がなくなっているため、当社では旧安定版（oldstable）バージョンのセキュリティサポートはドロップする必要があります。asterisk の全ユーザーは、安定版（stable）ディストリビューション（lenny）へアップグレードすることを推奨いたします。