Fedora 15：asterisk-1.8.4.4-2.fc15（2011-8983）

medium Nessus プラグイン ID 55582

Language:

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

EL6 および F15 から systemd の依存関係を削除します。Asterisk 開発チームは、セキュリティリリースである、Asterisk バージョン 1.4.41.2、1.6.2.18.2、および 1.8.4.4 を発表しました。

これらのリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。

Asterisk 1.4.41.2、1.6.2.18.2、および 1.8.4.4 のリリースでは、次の問題を解決しています：

AST-2011-011：Asterisk は、構成で alwaysauthreject オプションが設定されている場合でも、システムで構成されているユーザーに対するものとは異なる方法で、無効な SIP ユーザーからの SIP リクエストに応答する可能性があります。これにより、Asterisk システムで有効な SIP ユーザーに関する情報が漏洩される可能性があります。

この脆弱性の詳細については、この発表と同時にリリースされた、セキュリティアドバイザリ AST-2011-011 をご覧ください。

現リリースでの変更の全リストについては、次の変更ログを参照してください：

http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.4.41.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.6.2.18.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.4.4

セキュリティアドバイザリ AST-2011-011 は以下で入手できます：

http://downloads.asterisk.org/pub/security/AST-2011-011.pdf Asterisk 開発チームは、セキュリティリリースである Asterisk バージョン 1.4.41.1、1.6.2.18.1、および 1.8.4.3 を発表しました。

これらのリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。

Asterisk 1.4.41.1、1.6.2.18 および 1.8.4.3 のリリースにより、下記の概要のとおり、いくつかの問題が解決されます：

- AST-2011-008：リモートユーザーが、null を含んでいる SIP パケットを送信すると、実際にはコピーされた時点でバッファが切り捨てられていても、 Asterisk は null を超えて、パケットの終わりまで、利用可能なデータが続くと想定します。これにより、 SIP ヘッダーの解析で、バッファの終わりを超えるデータが修正され、関係がないメモリの構造が変わることになります。この脆弱性は TCP/TLS 接続には影響しません。-- 1.6.2.18.1 および 1.8.4.3 で解決

- AST-2011-009：リモートユーザーが、連絡先ヘッダーの左角括弧（<）なしで SIP パケットを送信すると、 Asterisk は NULL ポインターにアクセスします。-- 1.8.4.3 で解決

- AST-2011-010：オプションのコントロールフレームにより、メモリアドレスが不注意に IAX2 経由でネットワークで転送され、リモートの相手先がアクセスを試みることがあります。-- 1.4.41.1、1.6.2.18.1 および 1.8.4.3 で解決

この問題とその解決策は、AST-2011-008、AST-2011-009 および AST-2011-010 セキュリティアドバイザリで説明されています。

これらの脆弱性の詳細については、この発表と同時にリリースされた、セキュリティアドバイザリ AST-2011-008、AST-2011-009、AST-2011-010 をご覧ください。

現リリースでの変更の全リストについては、次の変更ログを参照してください：

http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.4.41.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.6.2.18.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.4.3

セキュリティアドバイザリ AST-2011-008、AST-2011-009 および AST-2011-010 は、以下のサイトで入手できます：

http://downloads.asterisk.org/pub/security/AST-2011-008.pdf http://downloads.asterisk.org/pub/security/AST-2011-009.pdf http://downloads.asterisk.org/pub/security/AST-2011-010.pdf

Asterisk 開発チームが、Asterisk バージョン 1.8.4.2 のリリースを発表しました。これは Asterisk 1.8 のセキュリティリリースです。

このリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。

Asterisk 1.8.4.2 のリリースにより、リモートで悪用可能なクラッシュにつながる可能性のある、SIP URI 解析に関する問題が解決されます：

SIP チャネルドライバーのリモートクラッシュの脆弱性（AST-2011-007）

この問題とその解決策は、AST-2011-007 セキュリティアドバイザリで説明されています。

この脆弱性の詳細については、この発表と同時にリリースされた、セキュリティアドバイザリ AST-2011-007 をご覧ください。

現リリースでの変更の全リストについては、次の変更ログを参照してください：

http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.4.2

セキュリティアドバイザリ AST-2011-007 は以下で入手できます：

http://downloads.asterisk.org/pub/security/AST-2011-007.pdf

Asterisk 開発チームが、Asterisk 1.8.4.1 のリリースを発表しています。このリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/ からすぐにダウンロード可能です

Asterisk 1.8.4.1 のリリースにより、コミュニティが報告しているいくつかの問題が解決します。皆様のご支援なしには、このリリースは不可能でした。ありがとうございます!

以下は、このリリースで解決された問題のリストです：

- RFC 3261 セクション 18.2.2 でコンプライアンスを修正します。（別名、 Cisco の電話修正）（問題 #18951 をクローズする。jmls により報告済み。
wdoekes によりパッチ済み）

- Cisco の電話修正の問題に起因する、IPv6 ヘッダー解析での変更を解決します。この問題は、Asterisk テストスイートで見つかり、報告されました。（問題 #18951 をクローズする。mnicholson によりパッチ済み）

- SIP TLS サポートの使用時に起こり得るクラッシュを解決します。
（問題 #19192 をクローズする。stknob により報告済み。Chainsaw によりパッチ済み。vois、Chainsaw によりテスト済み）

- SIP TLS 使用時の信頼性を強化します。（問題 #19182 をクローズする。st により報告済み。mnicholson によりパッチ済み）

このリリース候補版での変更の完全リストについては、次の変更ログを参照してください：

http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.8.4.1

Asterisk 開発チームが、Asterisk 1.8.4 のリリースを発表しています。このリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/ からすぐにダウンロード可能です

Asterisk 1.8.4 のリリースにより、コミュニティが報告しているいくつかの問題が解決します。皆様のご支援なしには、このリリースは不可能でした。ありがとうございます!

以下は、このリリースで解決された問題のサンプルです：

- 旧 SSLv2 のみを使用する代わりに、SSLv23_client_method を使用します。
（問題 #19095、#19138 が閉じられます。tzafrir により報告およびパッチ済み。russell と chazzam によりテスト済み。

- ast_mutex_init() でのクラッシュを解決します（twilson によりパッチ済み）

- DTMF ベースの操作による転送の複数の問題の解決。（問題 #17999、#17096、#18395、#17273 が閉じられます。
iskatel、gelo、shihchuan、grecco により報告済み。rmudgett によりパッチ済み）

注：これらの変更の詳細については、変更ログを必ずお読みください。

- chan_sip でのデバイスの状態に関連するデッドロックを解決（問題 #18310 が閉じられます。one47 により報告およびパッチ済み。
jpeeler によりパッチ済み）

- 無効な場合の、Asterisk マネージャーインターフェイスでのメモリリーク問題を解決します。（kmorgan により内部報告済み。russellb によりパッチ済み）

- voicemail.conf.sample に記載されている、greetingsfolder　のサポート。（問題 #17870 をクローズする。edhorton により報告済み。seanbright によりパッチ済み）。

- MeetMe() 外でのチャネルリダイレクトなどの、チャネルソフトハングアップに関する問題を修正します（問題 #18585 をクローズする。oej により報告済みoej、wedhorn、russellb によりテスト済み。russellb によりパッチ済み）

- ファイルベースストレージのボイスメール順序付けを修正。（問題 #18498、#18486 が閉じられます。JJCinAZ、bluefox により報告済み。
jpeeler によりパッチ済み）

- 反対側がビジーを返す場合、ローカルチャネル使用時に適切なリターンコードが 503 ではなく 486 になるように、local_hangup でハングアップの原因を設定します。Asterisk 1.8+ では、 CCSS にも影響を及ぼします。（twilson によりパッチ済み）

- コンソールに出力されない冗長なメッセージに関する問題を修正します。（問題 #18580 をクローズする。pabelanger により報告済み。
qwell によりパッチ済み）

- SIP 呼び出しのアテンド付き転送でのデッドロックを修正します（問題 #18837 を解決。alecdavis により報告およびパッチ済み。alecdavid、Irontec、ZX81、cmaj によりテスト済み）

AST-2011-005 および AST-2011-006 による変更を含みます。このリリース候補版での変更の完全リストについては、次の変更ログを参照してください：

http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.8.4

セキュリティリリースについての情報は、こちらで入手できます：

http://downloads.asterisk.org/pub/security/AST-2011-005.pdf http://downloads.asterisk.org/pub/security/AST-2011-006.pdf

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。