概要
リモート Fedora ホストに、セキュリティ更新がありません。
説明
- 2014 年 10 月 20 日(月曜日)Jeffrey C. Ollie 氏 <jeff at ocjtech.us> - 11.13.1-1 Asterisk 開発チームが、Certified Asterisk 1.8.28 と 11.6、ならびに Asterisk 1.8、11、12、13 に対するセキュリティリリースを発表しました。.入手可能なセキュリティリリースは、バージョン 1.8.28-cert2、11.6-cert7、1.8.31.1、11.13.1、12.6.1、13.0.0-beta3 としてリリースされています。
これらのリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。
これらのバージョンのリリースは、次のセキュリティの脆弱性を解決します:
- AST-2014-011:Asterisk の POODLE 脆弱性による影響
Asterisk は、2 つの方法で POODLE の脆弱性を受けやすい傾向にあります:1) res_jabber と res_xmpp のモジュールは共に、暗号化された接続にのみ SSLv3 を使用します。2) chan_sip チャネルドライバー、Asterisk Manager Interface(AMI)、Asterisk HTTP Server で使用される Asteris のコア TLS 処理によって、デフォルトで、TLS 接続を SSLv3 へフォールバックできます。これにより MITM が、接続を SSLv3 にフォールバックさせ、POODLE の脆弱性にさらされる可能性があります。
これらの問題は、このセキュリティアドバイザリと共にリリースされたバージョンで解決されました。
この脆弱性の詳細については、この発表と同時にリリースされた、セキュリティアドバイザリ AST-2014-011 をお読みください。
現リリースの変更一覧については、次の変更ログを参照してください:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.28-cert2 http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-11.6-cert7 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.31.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.13.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-12.6.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-13.0.0-beta3
以下の URL でセキュリティアドバイザリが入手できます:
- http://downloads.asterisk.org/pub/security/AST-2014-011
pdf
- 2014 年 10 月 20 日(月曜日)Jeffrey Ollie 氏 <jeff at ocjtech.us> - 11.13.0-1 Asterisk 開発チームは、Asterisk 11.13.0 のリリースを発表しました。このリリースは、http://downloads.asterisk.org/pub/telephony/asterisk からすぐにダウンロードできます。
Asterisk 11.13.0 のリリースにより、コミュニティから報告されているいくつかの問題が解決されますが、これは皆様のご参加なしには不可能でした。ありがとうございます!
このリリースでは、次の問題が解決されました:
このリリースで修正されるバグ:
注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
影響を受ける asterisk パッケージを更新してください。
プラグインの詳細
ファイル名: fedora_2014-13399.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:asterisk, cpe:/o:fedoraproject:fedora:21
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトの容易さ: Exploits are available