Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2835-1 asterisk

Debians sikkerhedsbulletin

DSA-2835-1 asterisk -- bufferoverløb

Rapporteret den:

5. jan 2014

Berørte pakker:

asterisk

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 732355.
I Mitres CVE-ordbog: CVE-2013-7100.

Yderligere oplysninger:

Jan Juergens opdagede et bufferoverløb i fortolkeren af SMS-beskeder i Asterisk.

Yderligere en ændring blev tilbageført, hvilken er udførligt beskrevet i http://downloads.asterisk.org/pub/security/AST-2013-007.html

Med rettelsen af AST-2013-007, blev en ny opsætningsmulighed tilføjet, for at kunne gøre det muligt for systemadministratoren at deaktivere udvidelse af farlige funktioner (så som SHELL()) i enhver grænseflade, som ikke er dialplan'en. I stable og oldstable er denne som standard deaktiveret. For at aktivere den, tilføjes følgende linje til afsnittet [options] i /etc/asterisk/asterisk.conf (hvorefter asterisk skal genstartes)

live_dangerously = no

I den gamle stabile distribution (squeeze), er dette problem rettet i version 1:1.6.2.9-2+squeeze12.

I den stabile distribution (wheezy), er dette problem rettet i version 1:1.8.13.1~dfsg1-3+deb7u3.

I distributionen testing (jessie), er dette problem rettet i version 1:11.7.0~dfsg-1.

I den ustabile distribution (sid), er dette problem rettet i version 1:11.7.0~dfsg-1.

Vi anbefaler at du opgraderer dine asterisk-pakker.