Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2276-1 asterisk

Säkerhetsbulletin från Debian

DSA-2276-1 asterisk -- flera överbelastningar

Rapporterat den:

2011-07-10

Berörda paket:

asterisk

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 631445, Fel 631446, Fel 631448.
I Mitres CVE-förteckning: CVE-2011-2529, CVE-2011-2535.

Ytterligare information:

Paul Belanger rapporterade en sårbarhet i Asterisk som identifieras som AST-2011-008 (CVE-2011-2529) genom vilken en icke autentiserad angripare kan krascha en Asteriskserver från fjärran. Ett paket som innehåller ett NULL-tecken orsakar att SIP-rubriktolken att redigera icke relaterade minnesstrukturer.

Jared Mauch rapporterade en sårbarhet i Asterisk som identifieras som AST-2011-009 genom vilken en icke autentiserad angripare kan krascha en Asteriskserver från fjärran. Om en användare skickar ett paket med en Contact-rubrik med en saknad väster vinkelparantes (<) kommer servern att krascha. En möjlig workaround är att inaktivera chan_sip.

Sårbarheten som identifieras som AST-2011-010 (CVE-2011-2535) som rapporterats om ett indatavalideringsfel i IAX2-kanaldrivrutinen. En icke autentiserad angripare kan krascha en Asteriskserver från fjärran genom att skicka en skapad alternativkontrollsram.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 1.4.21.2~dfsg-3+lenny5.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 1.6.2.9-2+squeeze3.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 1:1.8.4.3-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1:1.8.4.3-1.

Vi rekommenderar att ni uppgraderar era asterisk-paket.