Fedora 19:asterisk-11.8.1-1.fc19(2014-3779)
high Nessus プラグイン ID 73142
Language:
概要
リモート Fedora ホストに、セキュリティ更新がありません。説明
Asterisk 開発チームが、Certified Asterisk 1.8.15、11.6、と Asterisk 1.8、11、12 用のセキュリティリリースを発表しています。入手できるセキュリティリリースは、バージョン 1.8.15-cert5、11.6-cert2、1.8.26.1、11.8.1、 12.1.1 としてリリースされています。これらのリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。
これらのバージョンのリリースは、次の問題を解決します:
- AST-2014-001:クッキーヘッダーの HTTP 処理での、スタックオーバーフロー。
Asterisk により処理される HTTP リクエストを、大量のクッキーヘッダーと共に送信すると、スタックがオーバーフローすることがあります。
似たような路線のもう一つの脆弱性では、その中に非常識な数のヘッダーがある HTTP リクエストで、システムメモリが使い果たされる可能性があります。
- AST-2014-002:chan_sip:不適切なセッションタイマーリクエストでは、早期に終了します
この変更により、着信リクエストがどんな方法であれ拒否されようとしている場合に、chan_sip では、チャネルの作成、および関連する記述子の消費を、完全に回避することができます。
さらに、12.1.1 のリリースにより、以下の問題が解決されます。
- AST-2014-003:res_pjsip:401/407 応答を処理するとき、リクエストにエンドポイントがあることを前提にしないでください。
この変更により、発信リクエストには必ずエンドポイントがあるという前提が取り除かれ、authenticate_qualify オプションは再度機能します。
Asterisk 12.1.0 で修正された脆弱性についての、セキュリティアドバイザリ AST-2014-004 が、ついにリリースされました。Asterisk 12.0.0 のユーザーには、 12.1.1 にアップグレードして、両方の脆弱性を解決することを、奨励します。
これらの問題およびその解決策は、セキュリティアドバイザリで説明しています。
これらの脆弱性の詳細については、この発表と同時にリリースされた、セキュリティアドバイザリ AST-2014-001、 AST-2014-002、AST-2014-003、AST-2014-004 を、お読みください。
現リリースの変更一覧については、次の変更ログを参照してください:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-1.8.15-cert5 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-1.8.26.1 http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-11.6-cert2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-11.8.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-12.1.1
以下の URL でセキュリティアドバイザリは現在利用可能です:
- http://downloads.asterisk.org/pub/security/AST-2014-001。
- http://downloads.asterisk.org/pub/security/AST-2014-002.pdf
- http://downloads.asterisk.org/pub/security/AST-2014-003.pdf
- http://downloads.asterisk.org/pub/security/AST-2014-004.pdf Asterisk 開発チームは、Asterisk 11.8.0 のリリースを発表しました。このリリースは、http://downloads.asterisk.org/pub/telephony/asterisk からすぐにダウンロードできます。
Asterisk 11.8.0 のリリースにより、コミュニティから報告されているいくつかの問題が解決されますが、これは皆様のご参加なしには不可能でした。
ありがとうございます!
このリリースでは、次の問題が解決されました:
このリリースで修正されるバグ:
注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
影響を受ける asterisk パッケージを更新してください。参考資料
http://downloads.asterisk.org/pub/security/AST-2014-001.pdf
http://downloads.asterisk.org/pub/security/AST-2014-002.pdf
http://downloads.asterisk.org/pub/security/AST-2014-003.pdf
http://downloads.asterisk.org/pub/security/AST-2014-004.pdf
http://downloads.asterisk.org/pub/telephony/asterisk/
http://downloads.asterisk.org/pub/telephony/asterisk/releases/
http://www.nessus.org/u?68336dff
http://www.nessus.org/u?cbb290c2
http://www.nessus.org/u?4a9e33d8
http://www.nessus.org/u?3d221303
http://www.nessus.org/u?fd1dec6c
https://bugzilla.redhat.com/show_bug.cgi?id=1074825
プラグインの詳細
深刻度: High
ID: 73142
ファイル名: fedora_2014-3779.nasl
バージョン: 1.15
タイプ: local
エージェント: unix
ファミリー: Fedora Local Security Checks
公開日: 2014/3/22
更新日: 2021/1/11
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:19
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/3/12
脆弱性公開日: 2014/4/18
参照情報
CVE: CVE-2014-2286, CVE-2014-2287, CVE-2014-2288, CVE-2014-2289
FEDORA: 2014-3779