Fedora 17：asterisk-10.5.2-1.fc17（2012-10324）

medium Nessus プラグイン ID 60069

Language:

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

Asterisk 開発チームが、Certified Asterisk 1.8.11、 Asterisk 1.8 および 10 のセキュリティリリースを発表しました。利用可能なセキュリティリリースは、バージョン 1.8.11-cert4、1.8.13.1、10.5.2、および 10.5.2-digiumphones としてリリースされます。

これらのリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。

Asterisk 1.8.11-cert4、1.8.13.1、10.5.2 および 10.5.2-digiumphones のリリースは、以下の 2 つの問題を解決します：

- Asterisk が re-invite を送信し、エンドポイントが仮の応答で re-invite に応答するものの、最終応答を送信しない場合、SIP ダイアログ構造は解放されず、呼び出し用 RTP ポートは一切リリースされません。攻撃者が呼び出しを行うことができる場合、利用可能な全ての RTP ポートを使用することで、サービス拒否を発生させる可能性があります。

- 単一のボイスメールアカウントが 2 者により同時に操作された場合、メモリが二回解放される状態が発生し、クラッシュが引き起こされます。

これらの問題とその解決策は、セキュリティアドバイザリで説明されています。

これらの脆弱性の詳細については、この発表と同時にリリースされた、セキュリティアドバイザリ AST-2012-010 および AST-2012-011 をご覧ください。

現リリースの変更一覧については、次の変更ログを参照してください：

http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.11-cert4 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.13.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.5.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.5.2-digiumphones

以下の URL でセキュリティアドバイザリは現在利用可能です：

- http://downloads.asterisk.org/pub/security/AST-2012-010
pdf

- http://downloads.asterisk.org/pub/security/AST-2012-011.pdf

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。