Debians sikkerhedsbulletin

DSA-2225-1 asterisk -- flere sårbarheder

Rapporteret den:
25. apr 2011
Berørte pakker:
asterisk
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-1147, CVE-2011-1174, CVE-2011-1175, CVE-2011-1507, CVE-2011-1599.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i Asterisk, et open source-PBX- og telefonitoolkit.

  • CVE-2011-1147

    Matthew Nicholson opdagede at ukorrekt håndtering af UDPTL-pakker måske kunne føre til lammelsesangreb (denial of service) eller udførelse af vilkårlig kode.

  • CVE-2011-1174

    Blake Cornell opdagede at ukorrekt connectionhåndtering i managergrænsefladen måske kunne føre til lammelsesangreb.

  • CVE-2011-1175

    Blake Cornell og Chris May opdagede at ukorrekt TCP-connectionhåndtering måske kunne føre til lammelsesangreb.

  • CVE-2011-1507

    Tzafrir Cohen opdagede at utilstrækkelig begræsning af connectionforespørgsler i flere TCP-baserede tjenester, måske kunne føre til lammelsesangreb. Se AST-2011-005 for flere oplysninger.

  • CVE-2011-1599

    Matthew Nicholson opdagede en rettighedsforøgelsessårbarhed i managergrænsefladen.

I den gamle stabile distribution (lenny), er dette problem rettet i version 1:1.4.21.2~dfsg-3+lenny2.1.

I den stabile distribution (squeeze), er dette problem rettet i version 1:1.6.2.9-2+squeeze2.

I den ustabile distribution (sid), er dette problem rettet i version 1:1.8.3.3-1.

Vi anbefaler at du opgraderer dine asterisk-pakker.