概要
リモート Fedora ホストに、セキュリティ更新がありません。
説明
Asterisk 開発チームが、Certified Asterisk 1.8.15、11.6、と Asterisk 1.8、11、12 用のセキュリティリリースを発表しています。利用可能なセキュリティリリースは、バージョン 1.8.15-cert7、11.6-cert4、1.8.28.2、11.10.2、および 12.3.2 としてリリースされています。
これらのリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。
これらのリリースでは、1.8.15-cert6、11.6-cert3、1.8.28.1、11.10.1、12.3.1 で以前に修正されたセキュリティの脆弱性を解決します。
AST-2014-007 の修正では、Asterisk が TCP/TLS トランスポートで、データを送信できないという、Asterisk のトランスポート処理の回帰が不注意で導入されていました。この回帰とセキュリティの脆弱性については、リリース告知で指定されているバージョンで修正されています。
AST-2014-007 用のセキュリティパッチは、回帰用の修正で更新されています。また、このパッチは次の URL から入手できます。http://downloads.asterisk.org/pub/security
注意:これらのバージョンのリリースは、次のセキュリティの脆弱性を解決します。
- AST-2014-005:PJSIP チャネルドライバーのパブリッシュ/サブスクライブフレームワークのリモートクラッシュ
- AST-2014-006:Asterisk Manager ユーザーの認証されていないシェルアクセスによる権限の昇格
- AST-2014-007:許可された同時 HTTP 接続の消費によるサービス拒否
- AST-2014-008:PJSIP チャネルドライバーサブスクリプションにおけるサービス拒否
これらの脆弱性の詳細については、セキュリティアドバイザリ AST-2014-005、AST-2014-006、AST-2014-007、AST-2014-008 を参照してください。これらのセキュリティアドバイザリは、これらの脆弱性に対処した以前のバージョンとともにリリースされています。
現リリースの変更一覧については、次の変更ログを参照してください:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-1.8.15-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-1.8.28.2 http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-11.6-cert4 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-11.10.2 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-12.3.2
以下の URL でセキュリティアドバイザリは現在利用可能です:
- http://downloads.asterisk.org/pub/security/AST-2014-005.
pdf
- http://downloads.asterisk.org/pub/security/AST-2014-006.pdf
- http://downloads.asterisk.org/pub/security/AST-2014-007.pdf
- http://downloads.asterisk.org/pub/security/AST-2014-008.pdf
Asterisk 開発チームが、Certified Asterisk 1.8.15、11.6、と Asterisk 1.8、11、12 用のセキュリティリリースを発表しています。利用可能なセキュリティリリースは、バージョン 1.8.15-cert6、11.6-cert3、1.8.28.1、11.10.1、および 12.3.1 としてリリースされています。
これらのリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。
これらのバージョンのリリースは、次の問題を解決します。
- AST-2014-007:許可された同時 HTTP 接続の消費によるサービス拒否
http.conf で構成された HTTP または HTTPS ポートに、TCP または TLS の接続をそれぞれ確立した後に、HTTP リクエストを送信も完了もしない場合、HTTP セッションをタイアップします。これをオープン HTTP セッションの最大回数まで繰り返すと、正当なリクエストがブロックされます。
また、11.6-cert3、11.10.1、12.3.1 のリリースでは、次の問題が解決されます。
- AST-2014-006:Asterisk Manager ユーザーの認証されていないシェルアクセスによる権限の昇格
Manager のユーザーは、MixMonitor マネージャー操作で任意のシェルコマンドを実行できます。Asterisk は、 Manager ユーザーが MixMonitor のアクションを使用する際に、システムクラス承認を要求しません。したがって、Manager コマンドの使用が許可されている Manager ユーザーであれば、誰でも Asterisk プロセスを実行するユーザーとして、任意のシェルコマンドを実行できます。
また、12.3.1 のリリースでは、次の問題が解決されます:
- AST-2014-005:PJSIP チャネルドライバーのパブリッシュ/サブスクライブフレームワークのリモートクラッシュ
PJSIP チャネルドライバーの pub/sub フレームワークに、リモートから悪用可能なクラッシュの脆弱性が存在しています。現在サブスクライブされず、かつエンドポイントの「sub_min_expiry」が 0 に設定されている場合に、サブスクライブを解除しようとすると、Asterisk は、ゼロ秒の期限タイマーを作成しようとしますが、許可されず、アサーションが発生します。
- AST-2014-008:PJSIP チャネルドライバーサブスクリプションにおけるサービス拒否
SIP トランザクションがタイムアウトしてサブスクリプションが終了すると、Asterisk によるアクションは、SIP リクエストが処理されるスレッドを、必ずデッドロックさせます。この挙動は、確立したサブスクリプションでしか発生しませんので注意してください。つまり、この挙動を悪用できるは、攻撃者が認証をバイパスし、Asterisk サーバーの実際のリソースにサブスクライブできた場合に限られます。
これらの問題およびその解決策は、セキュリティアドバイザリで説明しています。
これらの脆弱性の詳細については、この発表と同時にリリースされた、セキュリティアドバイザリ AST-2014-005、 AST-2014-006、AST-2014-007、AST-2014-008 を、お読みください。
現リリースの変更一覧については、次の変更ログを参照してください:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-1.8.15-cert6 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-1.8.28.1 http://downloads.asterisk.org/pub/telephony/certified-asterisk/release s/ChangeLog-11.6-cert3 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-11.10.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLo g-12.3.1
Asterisk 開発チームが、Asterisk 11.10.0 のリリースを発表しています。このリリースは、http://downloads.asterisk.org/pub/telephony/asterisk からすぐにダウンロードできます。
Asterisk 11.10.0 のリリースにより、コミュニティから報告されているいくつかの問題が解決されますが、これは皆様のご参加なしには不可能でした。ありがとうございます!
このリリースでは、次の問題が解決されました:
このリリースで修正されるバグ:
注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
影響を受ける asterisk パッケージを更新してください。
プラグインの詳細
ファイル名: fedora_2014-7551.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:20
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトの容易さ: No known exploits are available