Debians sikkerhedsbulletin
DSA-2493-1 asterisk -- lammelsesangreb
- Rapporteret den:
- 12. jun 2012
- Berørte pakker:
- asterisk
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 675204, Fejl 675210.
I Mitres CVE-ordbog: CVE-2012-2947, CVE-2012-2948. - Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i Asterisk, et værktøjssæt til PBX og telefoni.
- CVE-2012-2947
IAX2-kanaldriveren gjorde det muligt for fjernangribere, at forårsage et lammelsesangreb (dæmonnedbrud), ved sætte et opkald på hold (når en bestemt mohinterpret-indstilling var aktiveret).
- CVE-2012-2948
Skinny-kanaldriveren gjorde det muligt for fjernautentificerede brugere at forårsage et lammelsesangreb (NULL-pointerdereference og dæmonnedbrud) ved at lukke en forbindelse i off-hook-tilstand.
Desuden opdagede man, at Asterisk ikke opsatte indstillingen alwaysauthreject som standard i SIP-kanaldriveren. Dermed var det muligt for fjernangribere, at se forskellen på hvordan svar blev behandlet og undersøge tilstedeværelsen af kontonavne. (CVE-2011-2666) Systemadministrator, der bekymrer sig for brugeroptællingssårbarheden, bør aktivere indstillingen alwaysauthreject i deres opsætning. Vi planlægger ikke at ændre standardindstillingen i den stabile version (Asterisk 1.6) af hensyn til bagudkompabilitet.
I den stabile distribution (squeeze), er dette problem rettet i version 1:1.6.2.9-2+squeeze6.
I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i version 1:1.8.13.0~dfsg-1.
Vi anbefaler at du opgraderer dine asterisk-pakker.
- CVE-2012-2947