Debians sikkerhedsbulletin

DSA-2493-1 asterisk -- lammelsesangreb

Rapporteret den:
12. jun 2012
Berørte pakker:
asterisk
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 675204, Fejl 675210.
I Mitres CVE-ordbog: CVE-2012-2947, CVE-2012-2948.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i Asterisk, et værktøjssæt til PBX og telefoni.

  • CVE-2012-2947

    IAX2-kanaldriveren gjorde det muligt for fjernangribere, at forårsage et lammelsesangreb (dæmonnedbrud), ved sætte et opkald på hold (når en bestemt mohinterpret-indstilling var aktiveret).

  • CVE-2012-2948

    Skinny-kanaldriveren gjorde det muligt for fjernautentificerede brugere at forårsage et lammelsesangreb (NULL-pointerdereference og dæmonnedbrud) ved at lukke en forbindelse i off-hook-tilstand.

Desuden opdagede man, at Asterisk ikke opsatte indstillingen alwaysauthreject som standard i SIP-kanaldriveren. Dermed var det muligt for fjernangribere, at se forskellen på hvordan svar blev behandlet og undersøge tilstedeværelsen af kontonavne. (CVE-2011-2666) Systemadministrator, der bekymrer sig for brugeroptællingssårbarheden, bør aktivere indstillingen alwaysauthreject i deres opsætning. Vi planlægger ikke at ændre standardindstillingen i den stabile version (Asterisk 1.6) af hensyn til bagudkompabilitet.

I den stabile distribution (squeeze), er dette problem rettet i version 1:1.6.2.9-2+squeeze6.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i version 1:1.8.13.0~dfsg-1.

Vi anbefaler at du opgraderer dine asterisk-pakker.