FreeBSD：asterisk -- libcURL HTTP リクエスト注入の脆弱性に対する緩和（7656fc62-a7a7-11e4-96ba-001999f8d30b）

high Nessus プラグイン ID 81097

Language:

概要

リモート FreeBSD ホストに 1 つ以上のセキュリティ関連の更新が見つかりません。

説明

Asterisk プロジェクトによる報告：

CVE-2014-8150 は、libcURL での HTTP リクエスト注入の脆弱性を報告しました。Asterisk は、func_curl.so モジュール（CURL() dialplan 関数）、ならびに res_config_curl.so （cURL リアルタイムバックエンド）モジュールで libcURL を使用しています。

Asterisk はユーザー提供の URL が libcURL に渡されるように設定される可能性があるので、Asterisk サーバーにインストールされている libcURL のバージョンが CVE-2014-8150 によって影響を受ける場合、攻撃者が Asterisk を攻撃ベクトルとして利用し、認証されていない HTTP リクエストのインジェクションを行う可能性があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://downloads.asterisk.org/pub/security/AST-2015-002.html

http://www.nessus.org/u?c65882fa

プラグインの詳細

深刻度: High

ID: 81097

ファイル名: freebsd_pkg_7656fc62a7a711e496ba001999f8d30b.nasl

バージョン: 1.4

タイプ: local

ファミリー: FreeBSD Local Security Checks

公開日: 2015/1/30

更新日: 2021/1/6

サポートされているセンサー: Nessus

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:asterisk, p-cpe:/a:freebsd:freebsd:asterisk11, p-cpe:/a:freebsd:freebsd:asterisk13, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2015/1/29

脆弱性公開日: 2015/1/12