Fedora 22：asterisk-13.3.2-1.fc22（2015-5948）

medium Nessus プラグイン ID 84910

Language:

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

Asterisk 開発チームが、Certified Asterisk 1.8.28、11.6、13.1と Asterisk 1.8、11、12 および 13 用のセキュリティリリースを発表しています。利用可能なセキュリティリリースは、バージョン 1.8.28.cert-5、1.8.32.3、11.6-cert11、11.17.1、12.8.2、13.1-cert2、13.3.2 としてリリースされています。

これらのリリースは、http://downloads.asterisk.org/pub/telephony/asterisk/releases からすぐにダウンロード可能です。

これらのバージョンのリリースは、次のセキュリティの脆弱性を解決します：

- AST-2015-003：TLS 証明書共通名の NULL バイトの悪用

Asterisk が SIP TLS デバイスへ登録し、サーバーを検証すると、署名付きの証明書が Asterisk が予期していたコモンネームの部分の後に NULL バイトを含むコモンネームを保持している場合、Asterisk は Asterisk が予期しているのとは別のコモンネームと一致する署名付きの証明書を受け入れます。これは、中間者攻撃を引き起こす可能性があります。

この脆弱性の詳細については、この発表と同時にリリースされた、セキュリティアドバイザリ AST-2015-003 をお読みください。

現リリースの変更一覧については、次の変更ログを参照してください：

http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-1.8.28-cert5 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.32.3 http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-11.6-cert11 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.17.1 http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-13.3.2

以下の URL でセキュリティアドバイザリが入手できます：

- http://downloads.asterisk.org/pub/security/AST-2015-003。
pdf

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。