Fedora 17：asterisk-10.3.1-1.fc17（2012-6704）

high Nessus プラグイン ID 59002

Language:

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

Asterisk 開発チームは、Asterisk 1.6.2、1.8、および 10 に対して、セキュリティリリースを発表しています。入手できるセキュリティリリースは、バージョン 1.6.2.24、1.8.11.1、および 10.3.1 としてリリースされます。

これらのリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。

Asterisk 1.6.2.24、1.8.11.1、および 10.3.1 のリリースは、次の 2 つの問題を解決します：

- Asterisk Manager Interface での、権限昇格の脆弱性。これにより、認証されているリモートユーザーは、Asterisk アプリケーションを実行しているユーザーの権限で、システムシェルでコマンドを実行できる場合があります。

- Skinny Channel ドライバーでの、ヒープオーバーフローの脆弱性。キーパッドボタンのメッセージイベントでは、受信した数字を長さが固定されたバッファの最後部に付加する前に、そのバッファの長さをチェックすることに失敗していました。認証されているリモートユーザーは、キーパッドボタンのメッセージイベントを送信する可能性があり、バッファがオーバーランする場合があります。

さらに、Asterisk 1.8.11.1 および 10.3.1 のリリースでは、次の問題を解決しています：

- UPDATE リクエストを処理する際の、SIP チャネルドライバーでのリモートクラッシュの脆弱性。チャネルが打ち切られてから、関連する SIP ダイアログの破壊が確定するまでに、接続された回線を更新することを示す SIP UPDATE リクエストを受信した場合、Asterisk は、存在しないチャネルで接続された回線を更新してみることがあるため、クラッシュを引き起こす場合があります。

これらの問題とその解決策は、セキュリティアドバイザリで説明されています。

これらの脆弱性の詳細については、この発表と同時にリリースされた、セキュリティアドバイザリ AST-2012-004、AST-2012-005、および AST-2012-006 をご覧ください。

現リリースの変更一覧については、次の変更ログを参照してください：

http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.6.2.24 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.11.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.3.1

以下の URL でセキュリティアドバイザリは現在利用可能です：

- http://downloads.asterisk.org/pub/security/AST-2012-004。
pdf

- http://downloads.asterisk.org/pub/security/AST-2012-005.pdf

- http://downloads.asterisk.org/pub/security/AST-2012-006.pdf

1.8.11.0 への更新、1.8.10.1 への更新：2 つのセキュリティ脆弱性の修正。

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。