Säkerhetsbulletin från Debian

DSA-2493-1 asterisk -- överbelastning

Rapporterat den:
2012-06-12
Berörda paket:
asterisk
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 675204, Fel 675210.
I Mitres CVE-förteckning: CVE-2012-2947, CVE-2012-2948.
Ytterligare information:

Flera sårbarheter har upptäckts i Asterisk, ett PBX- och telefoniverktyg.

  • CVE-2012-2947

    IAX2-channeldrivrutinen tillåter fjärrangripare att orsaka en överbelastning (daemonkrasch) genom att placera ett samtal i vänteläge (när en särskilt mohinterpret-inställning är aktiverad).

  • CVE-2012-2948

    Skinny-channeldrivrutinen tillåter autentiserade fjärranvändare att orsaka en överbelastning (NULL-pekardereferering och daemonkrasch) genom att avsluta en anslutning i off-hookläge.

Utöver detta har det upptäckts att Asterisk i sätter inställningen alwaysauthreject som standard i SIP-kanaldrivrutinen. Detta tillåter fjärrangripare att observera en skillnad i svarsbeteende och kontrollera om kontonamn finns. (CVE-2011-2666) Systemadministratörer som oroas av denna användarräknarsårbarhet bör aktivera inställningen alwaysauthreject i konfigurationen. Vi planerar inte att ändra standardinställningen i den stabila utgåvan (Asterisk 1.6) för att behålla bakåtkompatibilitet.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 1:1.6.2.9-2+squeeze6.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid) har detta problem rättats i version 1:1.8.13.0~dfsg-1.

Vi rekommenderar att ni uppgraderar era asterisk-paket.