概要
リモート Fedora ホストに、セキュリティ更新がありません。
説明
Asterisk 開発チームが、 Certified Asterisk 1.8.15、ならびに Asterisk 1.8、10、11 に対するセキュリティリリースを発表しました。利用可能なセキュリティリリースは、バージョン 1.8.15-cert2、1.8.20.2、 10.12.2、10.12.2-digiumphones、11.2.2 としてリリースされています。
これらのリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。
これらのバージョンのリリースは、次の問題を解決します:
- H.264 フォーマットネゴシエーション中にバッファオーバーフローが発生する可能性があります。H.264 動画のフォーマット属性リソースが、 SDP の解析中にメディア属性に対して安全でない読み込みを実行します。
この脆弱性は、Asterisk 11 のみに影響を与えました。
- Asterisk の HTTP サーバーにサービス拒否が存在します。
今年の 1 月に修正された AST-2012-014 には、 Asterisk の HTTP サーバーに対する修正が含まれ、リモートでトリガーされるクラッシュに対処しました。この修正はクラッシュのトリガーを回避しましたが、攻撃者が非常に大きな Content-Length の値のある 1 つ以上の HTTP POST リクエストを送信した場合、ソリューションにはまだサービス拒否のベクトルが存在していました。
この脆弱性は、Certified Asterisk 1.8.15、Asterisk 1.8、10 と 11 に影響を与えます
- SIP チャネルドライバーに潜在的なユーザー名の漏洩が存在します。alwaysauthreject を有効化し、allowguest を無効化し、autocreatepeer を無効化して、 SIP リクエストを認証するときに、 Asterisk は INVITE、SUBSCRIBE、REGISTER のトランザクションに対してユーザーが存在するかどうかを複数の方法で漏洩します。
この脆弱性は、Certified Asterisk 1.8.15、Asterisk 1.8、10 と 11 に影響を与えます
これらの問題およびその解決策は、セキュリティアドバイザリで説明しています。
これらの脆弱性の詳細については、この発表と同時にリリースされた、セキュリティアドバイザリ AST-2013-001、AST-2013-002、および AST-2013-003 をご覧ください。
現リリースの変更一覧については、次の変更ログを参照してください:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.15-cert2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.20.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.12.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.12.2-digiumphones http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.2.2
以下の URL でセキュリティアドバイザリは現在利用可能です:
- http://downloads.asterisk.org/pub/security/AST-2013-001.
pdf
- http://downloads.asterisk.org/pub/security/AST-2013-002.pdf
- http://downloads.asterisk.org/pub/security/AST-2013-00 3.pdf
注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
影響を受ける asterisk パッケージを更新してください。
プラグインの詳細
ファイル名: fedora_2013-4528.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:17
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトの容易さ: No known exploits are available