概要
リモート Fedora ホストに、セキュリティ更新がありません。
説明
EL6 および F15 から systemd の依存関係を削除します。Asterisk 開発チームは、セキュリティリリースである、Asterisk バージョン 1.4.41.2、1.6.2.18.2、および 1.8.4.4 を発表しました。
これらのリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。
Asterisk 1.4.41.2、1.6.2.18.2、および 1.8.4.4 のリリースでは、次の問題を解決しています:
AST-2011-011:Asterisk は、構成で alwaysauthreject オプションが設定されている場合でも、システムで構成されているユーザーに対するものとは異なる方法で、無効な SIP ユーザーからの SIP リクエストに応答する可能性があります。これにより、Asterisk システムで有効な SIP ユーザーに関する情報が漏洩される可能性があります。
この脆弱性の詳細については、この発表と同時にリリースされた、セキュリティアドバイザリ AST-2011-011 をご覧ください。
現リリースでの変更の全リストについては、次の変更ログを参照してください:
http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.4.41.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.6.2.18.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.4.4
セキュリティアドバイザリ AST-2011-011 は以下で入手できます:
http://downloads.asterisk.org/pub/security/AST-2011-011.pdf Asterisk 開発チームは、セキュリティリリースである Asterisk バージョン 1.4.41.1、1.6.2.18.1、および 1.8.4.3 を発表しました。
これらのリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。
Asterisk 1.4.41.1、1.6.2.18 および 1.8.4.3 のリリースにより、下記の概要のとおり、いくつかの問題が解決されます:
- AST-2011-008:リモートユーザーが、null を含んでいる SIP パケットを送信すると、実際にはコピーされた時点でバッファが切り捨てられていても、 Asterisk は null を超えて、パケットの終わりまで、利用可能なデータが続くと想定します。これにより、 SIP ヘッダーの解析で、バッファの終わりを超えるデータが修正され、関係がないメモリの構造が変わることになります。この脆弱性は TCP/TLS 接続には影響しません。-- 1.6.2.18.1 および 1.8.4.3 で解決
- AST-2011-009:リモートユーザーが、連絡先ヘッダーの左角括弧(<)なしで SIP パケットを送信すると、 Asterisk は NULL ポインターにアクセスします。-- 1.8.4.3 で解決
- AST-2011-010:オプションのコントロールフレームにより、メモリアドレスが不注意に IAX2 経由でネットワークで転送され、リモートの相手先がアクセスを試みることがあります。-- 1.4.41.1、1.6.2.18.1 および 1.8.4.3 で解決
この問題とその解決策は、AST-2011-008、AST-2011-009 および AST-2011-010 セキュリティアドバイザリで説明されています。
これらの脆弱性の詳細については、この発表と同時にリリースされた、セキュリティアドバイザリ AST-2011-008、AST-2011-009、AST-2011-010 をご覧ください。
現リリースでの変更の全リストについては、次の変更ログを参照してください:
http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.4.41.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.6.2.18.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.4.3
セキュリティアドバイザリ AST-2011-008、AST-2011-009 および AST-2011-010 は、以下のサイトで入手できます:
http://downloads.asterisk.org/pub/security/AST-2011-008.pdf http://downloads.asterisk.org/pub/security/AST-2011-009.pdf http://downloads.asterisk.org/pub/security/AST-2011-010.pdf
Asterisk 開発チームが、Asterisk バージョン 1.8.4.2 のリリースを発表しました。これは Asterisk 1.8 のセキュリティリリースです。
このリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。
Asterisk 1.8.4.2 のリリースにより、リモートで悪用可能なクラッシュにつながる可能性のある、SIP URI 解析に関する問題が解決されます:
SIP チャネルドライバーのリモートクラッシュの脆弱性(AST-2011-007)
この問題とその解決策は、AST-2011-007 セキュリティアドバイザリで説明されています。
この脆弱性の詳細については、この発表と同時にリリースされた、セキュリティアドバイザリ AST-2011-007 をご覧ください。
現リリースでの変更の全リストについては、次の変更ログを参照してください:
http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.4.2
セキュリティアドバイザリ AST-2011-007 は以下で入手できます:
http://downloads.asterisk.org/pub/security/AST-2011-007.pdf
Asterisk 開発チームが、Asterisk 1.8.4.1 のリリースを発表しています。このリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/ からすぐにダウンロード可能です
Asterisk 1.8.4.1 のリリースにより、コミュニティが報告しているいくつかの問題が解決します。皆様のご支援なしには、このリリースは不可能でした。ありがとうございます!
以下は、このリリースで解決された問題のリストです:
- RFC 3261 セクション 18.2.2 でコンプライアンスを修正します。(別名、 Cisco の電話修正)(問題 #18951 をクローズする。jmls により報告済み。
wdoekes によりパッチ済み)
- Cisco の電話修正の問題に起因する、IPv6 ヘッダー解析での変更を解決します。この問題は、Asterisk テストスイートで見つかり、報告されました。(問題 #18951 をクローズする。mnicholson によりパッチ済み)
- SIP TLS サポートの使用時に起こり得るクラッシュを解決します。
(問題 #19192 をクローズする。stknob により報告済み。Chainsaw によりパッチ済み。vois、Chainsaw によりテスト済み)
- SIP TLS 使用時の信頼性を強化します。(問題 #19182 をクローズする。st により報告済み。mnicholson によりパッチ済み)
このリリース候補版での変更の完全リストについては、次の変更ログを参照してください:
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.8.4.1
Asterisk 開発チームが、Asterisk 1.8.4 のリリースを発表しています。このリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/ からすぐにダウンロード可能です
Asterisk 1.8.4 のリリースにより、コミュニティが報告しているいくつかの問題が解決します。皆様のご支援なしには、このリリースは不可能でした。ありがとうございます!
以下は、このリリースで解決された問題のサンプルです:
- 旧 SSLv2 のみを使用する代わりに、SSLv23_client_method を使用します。
(問題 #19095、#19138 が閉じられます。tzafrir により報告およびパッチ済み。russell と chazzam によりテスト済み。
- ast_mutex_init() でのクラッシュを解決します(twilson によりパッチ済み)
- DTMF ベースの操作による転送の複数の問題の解決。(問題 #17999、#17096、#18395、#17273 が閉じられます。
iskatel、gelo、shihchuan、grecco により報告済み。rmudgett によりパッチ済み)
注:これらの変更の詳細については、変更ログを必ずお読みください。
- chan_sip でのデバイスの状態に関連するデッドロックを解決(問題 #18310 が閉じられます。one47 により報告およびパッチ済み。
jpeeler によりパッチ済み)
- 無効な場合の、Asterisk マネージャーインターフェイスでのメモリリーク問題を解決します。(kmorgan により内部報告済み。russellb によりパッチ済み)
- voicemail.conf.sample に記載されている、greetingsfolder のサポート。(問題 #17870 をクローズする。edhorton により報告済み。seanbright によりパッチ済み)。
- MeetMe() 外でのチャネルリダイレクトなどの、チャネルソフトハングアップに関する問題を修正します(問題 #18585 をクローズする。oej により報告済みoej、wedhorn、russellb によりテスト済み。russellb によりパッチ済み)
- ファイルベースストレージのボイスメール順序付けを修正。(問題 #18498、#18486 が閉じられます。JJCinAZ、bluefox により報告済み。
jpeeler によりパッチ済み)
- 反対側がビジーを返す場合、ローカルチャネル使用時に適切なリターンコードが 503 ではなく 486 になるように、local_hangup でハングアップの原因を設定します。Asterisk 1.8+ では、 CCSS にも影響を及ぼします。(twilson によりパッチ済み)
- コンソールに出力されない冗長なメッセージに関する問題を修正します。(問題 #18580 をクローズする。pabelanger により報告済み。
qwell によりパッチ済み)
- SIP 呼び出しのアテンド付き転送でのデッドロックを修正します(問題 #18837 を解決。alecdavis により報告およびパッチ済み。alecdavid、Irontec、ZX81、cmaj によりテスト済み)
AST-2011-005 および AST-2011-006 による変更を含みます。このリリース候補版での変更の完全リストについては、次の変更ログを参照してください:
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.8.4
セキュリティリリースについての情報は、こちらで入手できます:
http://downloads.asterisk.org/pub/security/AST-2011-005.pdf http://downloads.asterisk.org/pub/security/AST-2011-006.pdf
注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
影響を受ける asterisk パッケージを更新してください。
プラグインの詳細
ファイル名: fedora_2011-8983.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:15
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトの容易さ: No known exploits are available