概要
リモート Fedora ホストに、セキュリティ更新がありません。
説明
Asterisk 開発チームが、Certified Asterisk 1.8.11、 Asterisk 1.8 および 10 のセキュリティリリースを発表しました。利用可能なセキュリティリリースは、バージョン 1.8.11-cert7、1.8.15.1、10.7.1、 10.7.1-digiumphones としてリリースされています。
これらのリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。
Asterisk 1.8.11-cert7、1.8.15.1、10.7.1、および 10.7.1-digiumphones のリリースは、以下の 2 つの問題を解決します:
- Asterisk Manager Interface での、権限昇格の脆弱性。これにより、認証されているリモートユーザーは、Asterisk アプリケーションを実行しているユーザーの権限で、システムシェルでコマンドを実行できる場合があります。注意:Asterisk とともに配信される、 README-SERIOUSLY.bestpractices.txt ファイルがこのため更新され、以前のバージョンの Asterisk での脆弱性が修正されています。
- IAX2 が動的 Asterisk Realtime Architecture(ARA)のバックエンドで定義されるピアの認証情報を使用して呼び出されると、そのピアに対する ACL ルールは呼び出しの際に適用されません。これによって、ピアの認証情報を認識しているリモートの攻撃者はそのピアに対して設定されている ACL ルールをバイパスできます。
これらの問題およびその解決策は、セキュリティアドバイザリで説明しています。
これらの脆弱性の詳細については、この発表と同時にリリースされた、セキュリティアドバイザリ AST-2012-012 および AST-2012-013 をご覧ください。
現リリースの変更一覧については、次の変更ログを参照してください:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.11-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.15.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.7.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.7.1-digiumphones
以下の URL でセキュリティアドバイザリは現在利用可能です:
- http://downloads.asterisk.org/pub/security/AST-2012-012.
pdf
- http://downloads.asterisk.org/pub/security/AST-2012-013.pdf
注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
影響を受ける asterisk パッケージを更新してください。
プラグインの詳細
ファイル名: fedora_2012-13437.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:16
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトの容易さ: No known exploits are available