Рекомендация Debian по безопасности

DSA-2276-1 asterisk -- множественные отказы в обслуживании

Дата сообщения:
10.07.2011
Затронутые пакеты:
asterisk
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 631445, Ошибка 631446, Ошибка 631448.
В каталоге Mitre CVE: CVE-2011-2529, CVE-2011-2535.
Более подробная информация:

Пол Беланджер сообщил об уязвимости в Asterisk, получившей идентификатор AST-2011-008 (CVE-2011-2529), с помощью которой неаутентифицированный злоумышленник удалённо может остановить сервер Asterisk. Пакет, содержащий NULL-символ, приводит к тому, что код для грамматического разбора SIP-заголовка изменяет несвязанные структуры памяти.

Джаред Мауч сообщил об уязвимости Asterisk, получившей идентификатор AST-2011-009, с помощью которой неаутентифицированный злоумышленник удалённо может остановить сервер Asterisk. Если пользователь отправляет пакет с заголовком Contact с отсутствующим символом меньше (<), то это приведёт к аварийной остановке сервера. Возможное временное решение состоит в отключении chan_sip.

Было сообщено об уязвимости, определяемой как AST-2011-010 (CVE-2011-2535), которая представляет собой ошибку проверки входных данных в канальном драйвере IAX2. Неаутентифицированный злоумышленник может удалённо остановить сервер Asterisk, отправив специально сформированную управляющую структуру.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 1.4.21.2~dfsg-3+lenny5.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.6.2.9-2+squeeze3.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 1:1.8.4.3-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1:1.8.4.3-1.

Рекомендуется обновить пакеты asterisk.