Fedora 18：asterisk-10.7.1-2.fc18（2012-13286）

high Nessus プラグイン ID 62148

Language:

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

s390 のビルドの修正 Asterisk 開発チームが、Certified Asterisk 1.8.11 および Asterisk 1.8 と 10 に対するセキュリティリリースを発表しました。利用可能なセキュリティリリースは、バージョン 1.8.11-cert7、1.8.15.1、10.7.1、 10.7.1-digiumphones としてリリースされています。

これらのリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。

Asterisk 1.8.11-cert7、1.8.15.1、10.7.1、および 10.7.1-digiumphones のリリースは、以下の 2 つの問題を解決します：

- Asterisk Manager Interface での、権限昇格の脆弱性。これにより、認証されているリモートユーザーは、Asterisk アプリケーションを実行しているユーザーの権限で、システムシェルでコマンドを実行できる場合があります。注意：Asterisk とともに配信される、 README-SERIOUSLY.bestpractices.txt ファイルがこのため更新され、以前のバージョンの Asterisk での脆弱性が修正されています。

- IAX2 が動的 Asterisk Realtime Architecture（ARA）のバックエンドで定義されるピアの認証情報を使用して呼び出されると、そのピアに対する ACL ルールは呼び出しの際に適用されません。これによって、ピアの認証情報を認識しているリモートの攻撃者はそのピアに対して設定されている ACL ルールをバイパスできます。

これらの問題およびその解決策は、セキュリティアドバイザリで説明しています。

これらの脆弱性の詳細については、この発表と同時にリリースされた、セキュリティアドバイザリ AST-2012-012 および AST-2012-013 をご覧ください。

現リリースの変更一覧については、次の変更ログを参照してください：

http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.11-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.15.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.7.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.7.1-digiumphones

以下の URL でセキュリティアドバイザリは現在利用可能です：

- http://downloads.asterisk.org/pub/security/AST-2012-012.
pdf

- http://downloads.asterisk.org/pub/security/AST-2012-013.pdf

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。