Fedora 20:asterisk-11.10.2-2.fc20(2014-7551)
medium Nessus プラグイン ID 77768
Language:
概要
リモート Fedora ホストに、セキュリティ更新がありません。説明
Asterisk 開発チームが、Certified Asterisk 1.8.15、11.6、と Asterisk 1.8、11、12 用のセキュリティリリースを発表しています。利用可能なセキュリティリリースは、バージョン 1.8.15-cert7、11.6-cert4、1.8.28.2、11.10.2、および 12.3.2 としてリリースされています。これらのリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。
これらのリリースでは、1.8.15-cert6、11.6-cert3、1.8.28.1、11.10.1、12.3.1 で以前に修正されたセキュリティの脆弱性を解決します。
AST-2014-007 の修正では、Asterisk が TCP/TLS トランスポートで、データを送信できないという、Asterisk のトランスポート処理の回帰が不注意で導入されていました。この回帰とセキュリティの脆弱性については、リリース告知で指定されているバージョンで修正されています。
AST-2014-007 用のセキュリティパッチは、回帰用の修正で更新されています。また、このパッチは次の URL から入手できます。http://downloads.asterisk.org/pub/security
注意:これらのバージョンのリリースは、次のセキュリティの脆弱性を解決します。
- AST-2014-005:PJSIP チャネルドライバーのパブリッシュ/サブスクライブフレームワークのリモートクラッシュ
- AST-2014-006:Asterisk Manager ユーザーの認証されていないシェルアクセスによる権限の昇格
- AST-2014-007:許可された同時 HTTP 接続の消費によるサービス拒否
- AST-2014-008:PJSIP チャネルドライバーサブスクリプションにおけるサービス拒否
これらの脆弱性の詳細については、セキュリティアドバイザリ AST-2014-005、AST-2014-006、AST-2014-007、AST-2014-008 を参照してください。これらのセキュリティアドバイザリは、これらの脆弱性に対処した以前のバージョンとともにリリースされています。
現リリースの変更一覧については、次の変更ログを参照してください:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-1.8.15-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-1.8.28.2 http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-11.6-cert4 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-11.10.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-12.3.2
以下の URL でセキュリティアドバイザリは現在利用可能です:
- http://downloads.asterisk.org/pub/security/AST-2014-005.
- http://downloads.asterisk.org/pub/security/AST-2014-006.pdf
- http://downloads.asterisk.org/pub/security/AST-2014-007.pdf
- http://downloads.asterisk.org/pub/security/AST-2014-008.pdf
Asterisk 開発チームが、Certified Asterisk 1.8.15、11.6、と Asterisk 1.8、11、12 用のセキュリティリリースを発表しています。利用可能なセキュリティリリースは、バージョン 1.8.15-cert6、11.6-cert3、1.8.28.1、11.10.1、および 12.3.1 としてリリースされています。
これらのリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。
これらのバージョンのリリースは、次の問題を解決します。
- AST-2014-007:許可された同時 HTTP 接続の消費によるサービス拒否
http.conf で構成された HTTP または HTTPS ポートに、TCP または TLS の接続をそれぞれ確立した後に、HTTP リクエストを送信も完了もしない場合、HTTP セッションをタイアップします。これをオープン HTTP セッションの最大回数まで繰り返すと、正当なリクエストがブロックされます。
また、11.6-cert3、11.10.1、12.3.1 のリリースでは、次の問題が解決されます。
- AST-2014-006:Asterisk Manager ユーザーの認証されていないシェルアクセスによる権限の昇格
Manager のユーザーは、MixMonitor マネージャー操作で任意のシェルコマンドを実行できます。Asterisk は、 Manager ユーザーが MixMonitor のアクションを使用する際に、システムクラス承認を要求しません。したがって、Manager コマンドの使用が許可されている Manager ユーザーであれば、誰でも Asterisk プロセスを実行するユーザーとして、任意のシェルコマンドを実行できます。
また、12.3.1 のリリースでは、次の問題が解決されます:
- AST-2014-005:PJSIP チャネルドライバーのパブリッシュ/サブスクライブフレームワークのリモートクラッシュ
PJSIP チャネルドライバーの pub/sub フレームワークに、リモートから悪用可能なクラッシュの脆弱性が存在しています。現在サブスクライブされず、かつエンドポイントの「sub_min_expiry」が 0 に設定されている場合に、サブスクライブを解除しようとすると、Asterisk は、ゼロ秒の期限タイマーを作成しようとしますが、許可されず、アサーションが発生します。
- AST-2014-008:PJSIP チャネルドライバーサブスクリプションにおけるサービス拒否
SIP トランザクションがタイムアウトしてサブスクリプションが終了すると、Asterisk によるアクションは、SIP リクエストが処理されるスレッドを、必ずデッドロックさせます。この挙動は、確立したサブスクリプションでしか発生しませんので注意してください。つまり、この挙動を悪用できるは、攻撃者が認証をバイパスし、Asterisk サーバーの実際のリソースにサブスクライブできた場合に限られます。
これらの問題およびその解決策は、セキュリティアドバイザリで説明しています。
これらの脆弱性の詳細については、この発表と同時にリリースされた、セキュリティアドバイザリ AST-2014-005、 AST-2014-006、AST-2014-007、AST-2014-008 を、お読みください。
現リリースの変更一覧については、次の変更ログを参照してください:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-1.8.15-cert6 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-1.8.28.1 http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-11.6-cert3 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-11.10.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-12.3.1
Asterisk 開発チームが、Asterisk 11.10.0 のリリースを発表しています。このリリースは、http://downloads.asterisk.org/pub/telephony/asterisk からすぐにダウンロードできます。
Asterisk 11.10.0 のリリースにより、コミュニティから報告されているいくつかの問題が解決されますが、これは皆様のご参加なしには不可能でした。ありがとうございます!
このリリースでは、次の問題が解決されました:
このリリースで修正されるバグ:
注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
影響を受ける asterisk パッケージを更新してください。参考資料
http://downloads.asterisk.org/pub/security/
http://downloads.asterisk.org/pub/security/AST-2014-005.pdf
http://downloads.asterisk.org/pub/security/AST-2014-006.pdf
http://downloads.asterisk.org/pub/security/AST-2014-007.pdf
http://downloads.asterisk.org/pub/security/AST-2014-008.pdf
http://downloads.asterisk.org/pub/telephony/asterisk/
http://downloads.asterisk.org/pub/telephony/asterisk/releases/
http://www.nessus.org/u?95c079df
http://www.nessus.org/u?2dca7a1f
http://www.nessus.org/u?dd99d03c
http://www.nessus.org/u?050e7912
http://www.nessus.org/u?12bda26e
http://www.nessus.org/u?7c6cd6b3
http://www.nessus.org/u?98e4995b
http://www.nessus.org/u?b3e371d8
http://www.nessus.org/u?7d60d352
http://www.nessus.org/u?919a96f7
プラグインの詳細
深刻度: Medium
ID: 77768
ファイル名: fedora_2014-7551.nasl
バージョン: 1.8
タイプ: local
エージェント: unix
ファミリー: Fedora Local Security Checks
公開日: 2014/9/22
更新日: 2021/1/11
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 4.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:20
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/6/21
脆弱性公開日: 2014/6/17
参照情報
CVE: CVE-2014-4047
BID: 68036
FEDORA: 2014-7551