Debian セキュリティ勧告

DSA-2276-1 asterisk -- 複数のサービス拒否攻撃

報告日時:
2011-07-10
影響を受けるパッケージ:
asterisk
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 631445, バグ 631446, バグ 631448.
Mitre の CVE 辞書: CVE-2011-2529, CVE-2011-2535.
詳細:

Paul Belanger さんにより、Asterisk に欠陥 AST-2011-008 (CVE-2011-2529) が報告されました。この欠陥により、リモートの認証されていない攻撃者から Asterisk サーバのクラッシュが可能です。null 文字を含むパッケージにより、 SIP ヘッダパーザが無関係なメモリ構造を破壊す るためです。

Jared Mauch さんにより、Asterisk に欠陥 (AST-2011-009) が報告されました。この欠陥により、リモートの認証されていない攻撃者から Asterisk サーバのクラッシュが可能です。ユーザが左ブラケット (<) を欠く Contact ヘッダを持つパッケージを送信した場合、サーバがクラッシュする ためです。chan_sip を無効化する回避策が可能です。

Asterisk に欠陥 AST-2011-010 (CVE-2011-2535) が報告されました。IAX2 チャネルドライバに入力の検証誤りがあります。リモートの認証されていな い攻撃者から細工したオプション制御フレームを送信することで、Asterisk サーバのクラッシュが可能です。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 1.4.21.2~dfsg-3+lenny5 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバ ージョン 1.6.2.9-2+squeeze3 で修正されています。

テスト版ディストリビューション (wheezy) では、この問題はバージョン 1:1.8.4.3-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 1:1.8.4.3-1 で修正されています。

直ぐに asterisk パッケージをアップグレードすることを勧めます。