Fedora 21:asterisk-11.13.1-1.fc21(2014-13399)(POODLE)
medium Nessus プラグイン ID 78804
Language:
概要
リモート Fedora ホストに、セキュリティ更新がありません。説明
- 2014 年 10 月 20 日(月曜日)Jeffrey C. Ollie 氏 <jeff at ocjtech.us> - 11.13.1-1 Asterisk 開発チームが、Certified Asterisk 1.8.28 と 11.6、ならびに Asterisk 1.8、11、12、13 に対するセキュリティリリースを発表しました。.入手可能なセキュリティリリースは、バージョン 1.8.28-cert2、11.6-cert7、1.8.31.1、11.13.1、12.6.1、13.0.0-beta3 としてリリースされています。これらのリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。
これらのバージョンのリリースは、次のセキュリティの脆弱性を解決します:
- AST-2014-011:Asterisk の POODLE 脆弱性による影響
Asterisk は、2 つの方法で POODLE の脆弱性を受けやすい傾向にあります:1) res_jabber と res_xmpp のモジュールは共に、暗号化された接続にのみ SSLv3 を使用します。2) chan_sip チャネルドライバー、Asterisk Manager Interface(AMI)、Asterisk HTTP Server で使用される Asteris のコア TLS 処理によって、デフォルトで、TLS 接続を SSLv3 へフォールバックできます。これにより MITM が、接続を SSLv3 にフォールバックさせ、POODLE の脆弱性にさらされる可能性があります。
これらの問題は、このセキュリティアドバイザリと共にリリースされたバージョンで解決されました。
この脆弱性の詳細については、この発表と同時にリリースされた、セキュリティアドバイザリ AST-2014-011 をお読みください。
現リリースの変更一覧については、次の変更ログを参照してください:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.28-cert2 http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-11.6-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.31.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.13.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-12.6.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-13.0.0-beta3
以下の URL でセキュリティアドバイザリが入手できます:
- http://downloads.asterisk.org/pub/security/AST-2014-011
- 2014 年 10 月 20 日(月曜日)Jeffrey Ollie 氏 <jeff at ocjtech.us> - 11.13.0-1 Asterisk 開発チームは、Asterisk 11.13.0 のリリースを発表しました。このリリースは、http://downloads.asterisk.org/pub/telephony/asterisk からすぐにダウンロードできます。
Asterisk 11.13.0 のリリースにより、コミュニティから報告されているいくつかの問題が解決されますが、これは皆様のご参加なしには不可能でした。ありがとうございます!
このリリースでは、次の問題が解決されました:
このリリースで修正されるバグ:
注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
影響を受ける asterisk パッケージを更新してください。参考資料
http://www.nessus.org/u?31a540f8
http://downloads.asterisk.org/pub/security/AST-2014-011.pdf
http://downloads.asterisk.org/pub/telephony/asterisk/
http://downloads.asterisk.org/pub/telephony/asterisk/releases/
http://www.nessus.org/u?37c37e48
http://www.nessus.org/u?8aaea28d
http://www.nessus.org/u?a3d5c3c6
http://www.nessus.org/u?2a2f1c54
http://www.nessus.org/u?3fe11d8f
プラグインの詳細
深刻度: Medium
ID: 78804
ファイル名: fedora_2014-13399.nasl
バージョン: 1.17
タイプ: local
エージェント: unix
ファミリー: Fedora Local Security Checks
公開日: 2014/11/3
更新日: 2023/6/28
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.1
CVSS v2
リスクファクター: Medium
基本値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
CVSS v3
リスクファクター: Medium
基本値: 6.8
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:21
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2014/10/21
脆弱性公開日: 2014/10/15
参照情報
CVE: CVE-2014-3566
FEDORA: 2014-13399