Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2225-1 asterisk

Debians sikkerhedsbulletin

DSA-2225-1 asterisk -- flere sårbarheder

Rapporteret den:

25. apr 2011

Berørte pakker:

asterisk

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2011-1147, CVE-2011-1174, CVE-2011-1175, CVE-2011-1507, CVE-2011-1599.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i Asterisk, et open source-PBX- og telefonitoolkit.

• CVE-2011-1147

  Matthew Nicholson opdagede at ukorrekt håndtering af UDPTL-pakker måske kunne føre til lammelsesangreb (denial of service) eller udførelse af vilkårlig kode.

• CVE-2011-1174

  Blake Cornell opdagede at ukorrekt connectionhåndtering i managergrænsefladen måske kunne føre til lammelsesangreb.

• CVE-2011-1175

  Blake Cornell og Chris May opdagede at ukorrekt TCP-connectionhåndtering måske kunne føre til lammelsesangreb.

• CVE-2011-1507

  Tzafrir Cohen opdagede at utilstrækkelig begræsning af connectionforespørgsler i flere TCP-baserede tjenester, måske kunne føre til lammelsesangreb. Se AST-2011-005 for flere oplysninger.

• CVE-2011-1599

  Matthew Nicholson opdagede en rettighedsforøgelsessårbarhed i managergrænsefladen.

I den gamle stabile distribution (lenny), er dette problem rettet i version 1:1.4.21.2~dfsg-3+lenny2.1.

I den stabile distribution (squeeze), er dette problem rettet i version 1:1.6.2.9-2+squeeze2.

I den ustabile distribution (sid), er dette problem rettet i version 1:1.8.3.3-1.

Vi anbefaler at du opgraderer dine asterisk-pakker.