Рекомендация Debian по безопасности

DSA-2493-1 asterisk -- отказ в обслуживании

Дата сообщения:
12.06.2012
Затронутые пакеты:
asterisk
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 675204, Ошибка 675210.
В каталоге Mitre CVE: CVE-2012-2947, CVE-2012-2948.
Более подробная информация:

В Asterisk, наборе инструментов для офисных АТС и телефонии, было обнаружено несколько уязвимостей.

  • CVE-2012-2947

    Канальный драйвер IAX2 позволяет удалённым злоумышленникам вызывать отказ в обслуживании (аварийная остановка службы) путём перевода звонка в режим удержания (если включены определённые настройки mohinterpret).

  • CVE-2012-2948

    Канальный драйвер Skinny позволяет удалённым аутентифицированным пользователям вызывать отказ в обслуживании (разыменование NULL-указателя и аварийная остановка службы) путём закрытия соединения в режиме снятой трубки.

Кроме того, было обнаружено, что Asterisk по умолчанию не выставляет опцию alwaysauthreject в канальном драйвере SIP. Это позволяет удалённым злоумышленникам определять разницу между ответным поведением и проверкой присутствия имён учёных записей. (CVE-2011-2666) Системным администраторам, которых касается эта уязвимость по перебору пользователей, следует включить в настройках опцию alwaysauthreject. Мы не планируем изменять значение по умолчанию этой настройки в стабильной версии (Asterisk 1.6) с целью сохранения обратной совместимости.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1:1.6.2.9-2+squeeze6.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема была исправлена в версии 1:1.8.13.0~dfsg-1.

Рекомендуется обновить пакеты asterisk.