セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2225-1 asterisk

Debian セキュリティ勧告

DSA-2225-1 asterisk -- 複数の脆弱性

報告日時:

2011-04-25

影響を受けるパッケージ:

asterisk

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2011-1147, CVE-2011-1174, CVE-2011-1175, CVE-2011-1507, CVE-2011-1599.

詳細:

オープンソース電子交換機および電話回線ツールキット Asterisk に、複数の 問題が発見されました。

• CVE-2011-1147

  Matthew Nicholson さんにより、UDPTL パケットの不適切な処理により、 任意のコードの実行が可能であることが発見されました。

• CVE-2011-1174

  Blake Cornell さんにより、マネージャインターフェースでの不適切なコ ネクション処理のため、サービス拒否攻撃が可能であることが発見されま した。

• CVE-2011-1175

  Blake Cornell さんと Chris May さんにより、不適切な TCP コネクショ ンの扱いのため、サービス拒否攻撃が可能であることが発見されました。

• CVE-2011-1507

  Tzafrir Cohen さんにより、一部の TCP ベースのサービスで、コネクシ ョンリクエストの制限が十分でないため、サービス拒否攻撃が可能である ことが発見されました。詳細は AST-2011-005 を参照ください。

• CVE-2011-1599

  Matthew Nicholson さんにより、マネージャインターフェースに特権昇格 を許す欠陥が発見されました。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 1:1.4.21.2~dfsg-3+lenny2.1 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 1:1.6.2.9-2+squeeze2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 1:1.8.3.3-1 で修正されています。

直ぐに asterisk パッケージをアップグレードすることを勧めます。