Säkerhetsbulletin från Debian

DSA-2367-1 asterisk -- flera sårbarheter

Rapporterat den:
2011-12-19
Berörda paket:
asterisk
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2011-4597, CVE-2011-4598.
Ytterligare information:

Flera sårbarheter har upptäckts i Asterisk, ett open source PBX och telefoniverktyg:

  • CVE-2011-4597

    Ben Williams upptäckte att det var möjligt att numrera SIP-användarnamn i vissa konfigurationer. Vänligen se uppströmsbulletinen för mer detaljer.

    Denna uppdatering modifierar endast exempelkonfigurationsfilen sip.conf. Vänligen se README.Debian för mer information om hur du uppdaterar din installation.

  • CVE-2011-4598

    Kristijan Vrban upptäckte att Asterisk kan kraschas med felaktigt formaterade SIP-paket om automon-funktionen är aktiverad.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 1:1.4.21.2~dfsg-3+lenny6.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 1:1.6.2.9-2+squeeze4.

För den instabila utgåvan (Sid) har detta problem rättats i version 1:1.8.8.0~dfsg-1.

Vi rekommenderar att ni uppgraderar era asterisk-paket.