Säkerhetsbulletin från Debian

DSA-1952-1 asterisk -- flera sårbarheter, stödet i oldstable upphör

Rapporterat den:
2009-12-15
Berörda paket:
asterisk
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 513413, Fel 522528, Fel 554487, Fel 554486, Fel 559103.
I Mitres CVE-förteckning: CVE-2009-0041, CVE-2008-3903, CVE-2009-3727, CVE-2008-7220, CVE-2009-4055, CVE-2007-2383.
Ytterligare information:

Flera sårbarheter har upptäckts i asterisk, en öppen-källkods-PBX och en samling -telefonverktyg. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2009-0041

    Det är möjligt att hitta giltiga inloggningsnamn med hjälp av sökning, på grund av IAX2-svaret från asterisk (AST-2009-001).

  • CVE-2008-3903

    Det är möjligt att hitta ett giltigt SIP-användarnamn när digestautentisering och authalwaysreject är aktiverade (AST-2009-003).

  • CVE-2009-3727

    Det är möjligt att hitta ett giltigt SIP-användarnamn med hjälp av flera specialskrivna REGISTER-meddelanden (AST-2009-008).

  • CVE-2008-7220 CVE-2007-2383

    Det upptäcktes att asterisk innehåller en gammal kopia av JavaScriptramverket Prototype, som är sårbar för flera säkerhetsproblem. Denna kopia är oanvänd och har nu tagits bort från asterisk (AST-2009-009).

  • CVE-2009-4055

    Det upptäcktes att det är möjligt att utföra ett överbelastningsangrepp med hjälp av en RTP comfort noise-laddning med lång datalängd (AST-2009-010).

Den aktuella versionen i den gamla stabila utgåvan stöds inte längre uppströms och påverkas av flera säkerhetsproblem. Att bakåtanpassa rättelser för dessa and any future issues has become unfeasible and therefore we need to och eventuella framtida problem har blivit ogörligt och vi behöver därför släppa vårt säkerhetsstöd för den version som finns i den gamla stabila utgåvan. Vi rekommenderar alla asteriskanvändare att uppgradera till den stabila utgåvan (Lenny).

För den stabila utgåvan (Lenny) har dessa problem rättats i version 1:1.4.21.2~dfsg-3+lenny1.

För uttestningsutgåvan (Squeeze) och den instabila utgåvan (Sid) har dessa problem rättats i version 1:1.6.2.0~rc7-1.

Vi rekommenderar att ni uppgraderar era asterisk-paket.

Rättat i:

Debian GNU/Linux 5.0 (lenny)

Källkod:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg.orig.tar.gz
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1.dsc
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1.diff.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-sounds-main_1.4.21.2~dfsg-3+lenny1_all.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-config_1.4.21.2~dfsg-3+lenny1_all.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-doc_1.4.21.2~dfsg-3+lenny1_all.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dev_1.4.21.2~dfsg-3+lenny1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_alpha.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_alpha.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_amd64.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_amd64.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_arm.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_arm.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_armel.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_armel.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_hppa.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_hppa.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_i386.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_i386.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_ia64.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_ia64.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_mips.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_mips.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_mips.deb
PowerPC:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_sparc.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_sparc.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.