Debian セキュリティ勧告

DSA-2225-1 asterisk -- 複数の脆弱性

報告日時:
2011-04-25
影響を受けるパッケージ:
asterisk
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2011-1147, CVE-2011-1174, CVE-2011-1175, CVE-2011-1507, CVE-2011-1599.
詳細:

オープンソース電子交換機および電話回線ツールキット Asterisk に、複数の 問題が発見されました。

  • CVE-2011-1147

    Matthew Nicholson さんにより、UDPTL パケットの不適切な処理により、 任意のコードの実行が可能であることが発見されました。

  • CVE-2011-1174

    Blake Cornell さんにより、マネージャインターフェースでの不適切なコ ネクション処理のため、サービス拒否攻撃が可能であることが発見されま した。

  • CVE-2011-1175

    Blake Cornell さんと Chris May さんにより、不適切な TCP コネクショ ンの扱いのため、サービス拒否攻撃が可能であることが発見されました。

  • CVE-2011-1507

    Tzafrir Cohen さんにより、一部の TCP ベースのサービスで、コネクシ ョンリクエストの制限が十分でないため、サービス拒否攻撃が可能である ことが発見されました。詳細は AST-2011-005 を参照ください。

  • CVE-2011-1599

    Matthew Nicholson さんにより、マネージャインターフェースに特権昇格 を許す欠陥が発見されました。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 1:1.4.21.2~dfsg-3+lenny2.1 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 1:1.6.2.9-2+squeeze2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 1:1.8.3.3-1 で修正されています。

直ぐに asterisk パッケージをアップグレードすることを勧めます。