検出

Debian DSA-2835-1:asterisk - バッファオーバーフロー

medium Nessus プラグイン ID 71848

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Jan Juergens 氏は、Asterisk において、SMS メッセージ用のパーサーにバッファオーバーフローがあることを発見しました。

さらに別の変更がバックポートされました。詳細は、http://downloads.asterisk.org/pub/security/AST-2013-007.html で説明されています

AST-2013-007 に対する修正により、新たな構成オプションが追加されました。これにより、システム管理者は、ダイヤルプラン以外のどのインターフェイスからも、「危険な」関数(SHELL() など)を無効にすることができます。安定版(stable)および旧安定版(oldstable)では、このオプションはデフォルトで無効となっています。これを有効にするには、/etc/asterisk/asterisk.conf 内のセクション「[options]」に次の行を追加(そして asterisk を再起動)してください

live_dangerously = no

ソリューション

asterisk パッケージをアップグレードしてください。

旧安定版(oldstable)ディストリビューション(squeeze)では、この問題はバージョン 1:1.6.2.9-2+squeeze12 で修正されました。

安定版(stable)ディストリビューション(wheezy)では、この問題はバージョン 1:1.8.13.1~dfsg1-3+deb7u3 で修正されました。

参考資料

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=732355

http://downloads.asterisk.org/pub/security/AST-2013-007.html

https://packages.debian.org/source/squeeze/asterisk

https://packages.debian.org/source/wheezy/asterisk

https://www.debian.org/security/2014/dsa-2835

プラグインの詳細

深刻度: Medium

ID: 71848

ファイル名: debian_DSA-2835.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2014/1/8

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 4.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:asterisk, cpe:/o:debian:debian_linux:6.0, cpe:/o:debian:debian_linux:7.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/1/5

参照情報

CVE: CVE-2013-7100

BID: 64364

DSA: 2835