Fedora 17:asterisk-10.12.2-1.fc17(2013-4528)
medium Nessus プラグイン ID 65830
Language:
概要
リモート Fedora ホストに、セキュリティ更新がありません。説明
Asterisk 開発チームが、 Certified Asterisk 1.8.15、ならびに Asterisk 1.8、10、11 に対するセキュリティリリースを発表しました。利用可能なセキュリティリリースは、バージョン 1.8.15-cert2、1.8.20.2、 10.12.2、10.12.2-digiumphones、11.2.2 としてリリースされています。これらのリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。
これらのバージョンのリリースは、次の問題を解決します:
- H.264 フォーマットネゴシエーション中にバッファオーバーフローが発生する可能性があります。H.264 動画のフォーマット属性リソースが、 SDP の解析中にメディア属性に対して安全でない読み込みを実行します。
この脆弱性は、Asterisk 11 のみに影響を与えました。
- Asterisk の HTTP サーバーにサービス拒否が存在します。
今年の 1 月に修正された AST-2012-014 には、 Asterisk の HTTP サーバーに対する修正が含まれ、リモートでトリガーされるクラッシュに対処しました。この修正はクラッシュのトリガーを回避しましたが、攻撃者が非常に大きな Content-Length の値のある 1 つ以上の HTTP POST リクエストを送信した場合、ソリューションにはまだサービス拒否のベクトルが存在していました。
この脆弱性は、Certified Asterisk 1.8.15、Asterisk 1.8、10 と 11 に影響を与えます
- SIP チャネルドライバーに潜在的なユーザー名の漏洩が存在します。alwaysauthreject を有効化し、allowguest を無効化し、autocreatepeer を無効化して、 SIP リクエストを認証するときに、 Asterisk は INVITE、SUBSCRIBE、REGISTER のトランザクションに対してユーザーが存在するかどうかを複数の方法で漏洩します。
この脆弱性は、Certified Asterisk 1.8.15、Asterisk 1.8、10 と 11 に影響を与えます
これらの問題およびその解決策は、セキュリティアドバイザリで説明しています。
これらの脆弱性の詳細については、この発表と同時にリリースされた、セキュリティアドバイザリ AST-2013-001、AST-2013-002、および AST-2013-003 をご覧ください。
現リリースの変更一覧については、次の変更ログを参照してください:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.15-cert2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.20.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.12.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.12.2-digiumphones http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.2.2
以下の URL でセキュリティアドバイザリは現在利用可能です:
- http://downloads.asterisk.org/pub/security/AST-2013-001.
- http://downloads.asterisk.org/pub/security/AST-2013-002.pdf
- http://downloads.asterisk.org/pub/security/AST-2013-00 3.pdf
注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
影響を受ける asterisk パッケージを更新してください。参考資料
http://downloads.asterisk.org/pub/security/AST-2013-001.pdf
http://downloads.asterisk.org/pub/security/AST-2013-002.pdf
http://downloads.asterisk.org/pub/security/AST-2013-003.pdf
http://downloads.asterisk.org/pub/telephony/asterisk/releases/
http://www.nessus.org/u?29e5303b
http://www.nessus.org/u?a4695ab6
http://www.nessus.org/u?05ab7e1a
http://www.nessus.org/u?16e35cb0
http://www.nessus.org/u?d97a0e84
https://bugzilla.redhat.com/show_bug.cgi?id=928774
プラグインの詳細
深刻度: Medium
ID: 65830
ファイル名: fedora_2013-4528.nasl
バージョン: 1.16
タイプ: local
エージェント: unix
ファミリー: Fedora Local Security Checks
公開日: 2013/4/8
更新日: 2021/1/11
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 4.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:17
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/3/29
脆弱性公開日: 2013/4/1
参照情報
CVE: CVE-2013-2264, CVE-2013-2686
FEDORA: 2013-4528