Säkerhetsbulletin från Debian
DSA-2276-1 asterisk -- flera överbelastningar
- Rapporterat den:
- 2011-07-10
- Berörda paket:
- asterisk
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 631445, Fel 631446, Fel 631448.
I Mitres CVE-förteckning: CVE-2011-2529, CVE-2011-2535. - Ytterligare information:
-
Paul Belanger rapporterade en sårbarhet i Asterisk som identifieras som AST-2011-008 (CVE-2011-2529) genom vilken en icke autentiserad angripare kan krascha en Asteriskserver från fjärran. Ett paket som innehåller ett NULL-tecken orsakar att SIP-rubriktolken att redigera icke relaterade minnesstrukturer.
Jared Mauch rapporterade en sårbarhet i Asterisk som identifieras som AST-2011-009 genom vilken en icke autentiserad angripare kan krascha en Asteriskserver från fjärran. Om en användare skickar ett paket med en Contact-rubrik med en saknad väster vinkelparantes (<) kommer servern att krascha. En möjlig workaround är att inaktivera chan_sip.
Sårbarheten som identifieras som AST-2011-010 (CVE-2011-2535) som rapporterats om ett indatavalideringsfel i IAX2-kanaldrivrutinen. En icke autentiserad angripare kan krascha en Asteriskserver från fjärran genom att skicka en skapad alternativkontrollsram.
För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 1.4.21.2~dfsg-3+lenny5.
För den stabila utgåvan (Squeeze) har detta problem rättats i version 1.6.2.9-2+squeeze3.
För uttestningsutgåvan (Wheezy) har detta problem rättats i version 1:1.8.4.3-1.
För den instabila utgåvan (Sid) har detta problem rättats i version 1:1.8.4.3-1.
Vi rekommenderar att ni uppgraderar era asterisk-paket.