検出

FreeBSD : asterisk -- 複数の脆弱性(f109b02f-f5a4-11e3-82e9-00a098b18457)

medium Nessus プラグイン ID 76103

Language:

概要

リモート FreeBSD ホストに 1 つ以上のセキュリティ関連の更新が見つかりません。

説明

Asterisk プロジェクトによる報告:

Asterisk Manager ユーザーによる未承認のシェルアクセス。Manager のユーザーは、MixMonitor マネージャー操作で任意のシェルコマンドを実行できます。
Asterisk は、 Manager ユーザーが MixMonitor のアクションを使用する際に、システムクラス承認を要求しません。したがって、Manager コマンドの使用が許可されている Manager ユーザーであれば、誰でも Asterisk プロセスを実行するユーザーとして、任意のシェルコマンドを実行できます。

許可された同時 HTTP 接続の枯渇。http.conf で構成された HTTP または HTTPS ポートに、TCP または TLS の接続をそれぞれ確立した後に、HTTP リクエストを送信も完了もしない場合、HTTP セッションをタイアップします。これをオープン HTTP セッションの最大回数まで繰り返すと、正当なリクエストがブロックされます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://downloads.asterisk.org/pub/security/AST-2014-006.pdf

http://downloads.asterisk.org/pub/security/AST-2014-007.pdf

https://www.asterisk.org/downloads/security-advisories

http://www.nessus.org/u?cf07264a

プラグインの詳細

深刻度: Medium

ID: 76103

ファイル名: freebsd_pkg_f109b02ff5a411e382e900a098b18457.nasl

バージョン: 1.8

タイプ: local

公開日: 2014/6/18

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 6.5

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:asterisk11, p-cpe:/a:freebsd:freebsd:asterisk18, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2014/6/17

脆弱性公開日: 2014/6/12

参照情報

CVE: CVE-2014-4046, CVE-2014-4047