Debians sikkerhedsbulletin
DSA-2225-1 asterisk -- flere sårbarheder
- Rapporteret den:
- 25. apr 2011
- Berørte pakker:
- asterisk
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2011-1147, CVE-2011-1174, CVE-2011-1175, CVE-2011-1507, CVE-2011-1599.
- Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i Asterisk, et open source-PBX- og telefonitoolkit.
- CVE-2011-1147
Matthew Nicholson opdagede at ukorrekt håndtering af UDPTL-pakker måske kunne føre til lammelsesangreb (denial of service) eller udførelse af vilkårlig kode.
- CVE-2011-1174
Blake Cornell opdagede at ukorrekt connectionhåndtering i managergrænsefladen måske kunne føre til lammelsesangreb.
- CVE-2011-1175
Blake Cornell og Chris May opdagede at ukorrekt TCP-connectionhåndtering måske kunne føre til lammelsesangreb.
- CVE-2011-1507
Tzafrir Cohen opdagede at utilstrækkelig begræsning af connectionforespørgsler i flere TCP-baserede tjenester, måske kunne føre til lammelsesangreb. Se AST-2011-005 for flere oplysninger.
- CVE-2011-1599
Matthew Nicholson opdagede en rettighedsforøgelsessårbarhed i managergrænsefladen.
I den gamle stabile distribution (lenny), er dette problem rettet i version 1:1.4.21.2~dfsg-3+lenny2.1.
I den stabile distribution (squeeze), er dette problem rettet i version 1:1.6.2.9-2+squeeze2.
I den ustabile distribution (sid), er dette problem rettet i version 1:1.8.3.3-1.
Vi anbefaler at du opgraderer dine asterisk-pakker.
- CVE-2011-1147