Debians sikkerhedsbulletin

DSA-1952-1 asterisk -- flere sårbarheder, ophør af understøttelse i oldstable

Rapporteret den:
15. dec 2009
Berørte pakker:
asterisk
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 513413, Fejl 522528, Fejl 554487, Fejl 554486, Fejl 559103.
I Mitres CVE-ordbog: CVE-2009-0041, CVE-2008-3903, CVE-2009-3727, CVE-2008-7220, CVE-2009-4055, CVE-2007-2383.
Yderligere oplysninger:

Flere sårbarheder er opdaget i asterisk, en open source-PBX- og telefoniværktøjssamling. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2009-0041

    Det var muligt at finde gyldige loginnavne ved afprøvning, på grund af IAX2-svaret fra asterisk (AST-2009-001).

  • CVE-2008-3903

    Det var muligt at finde et gyldigt SIP-brugernavn, når Digest-autentificering og authalwaysreject er aktiveret (AST-2009-003).

  • CVE-2009-3727

    Det var muligt at finde et gyldigt SIP-brugernavn gennem flere fabrikerede REGISTER-beskeder (AST-2009-008).

  • CVE-2008-7220 CVE-2007-2383

    Man opdagede, at asterisk indeholder en forældet kopi af Prototype JavaScript-frameworket, der er sårbart over for flere sikkerhedsproblemer. Denne kopi anvendes ikke og er nu fjernet fra asterisk (AST-2009-009).

  • CVE-2009-4055

    Man opdagede at det var muligt at iværksætte et lammelsesangreb (denial of service) gennem RTP comfort noise payload, med en lang datalængde (AST-2009-010).

Den aktuelle version i den gamle stabile distribution, er ikke længere understøttet af opstrømsudviklerne, og den er påvirket af flere sikkerhedsproblemer. Tilbageførelse af rettelser af disse og alle fremtidige problemer, kan ikke længere betale sig. Derfor er vi nødt til at lade sikkerhedsunderstøttelsen af versionen i oldstable ophøre. Vi anbefaler at alle asterisk-brugere opgraderer til den stabile distribution (lenny).

I den stabile distribution (lenny), er disse problemer rettet i version 1:1.4.21.2~dfsg-3+lenny1.

I distributionen testing (squeeze) og i den ustabile distribution (sid), er disse problemer rettet i version 1:1.6.2.0~rc7-1.

Vi anbefaler at du opgraderer dine asterisk-pakker.

Rettet i:

Debian GNU/Linux 5.0 (lenny)

Kildekode:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg.orig.tar.gz
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1.dsc
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1.diff.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-sounds-main_1.4.21.2~dfsg-3+lenny1_all.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-config_1.4.21.2~dfsg-3+lenny1_all.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-doc_1.4.21.2~dfsg-3+lenny1_all.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dev_1.4.21.2~dfsg-3+lenny1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_alpha.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_alpha.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_amd64.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_amd64.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_arm.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_arm.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_armel.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_armel.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_hppa.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_hppa.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_i386.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_i386.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_ia64.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_ia64.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_mips.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_mips.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_mips.deb
PowerPC:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_sparc.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_sparc.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.