セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-2835-1 asterisk

Debian セキュリティ勧告

DSA-2835-1 asterisk -- バッファオーバーフロー

報告日時:

2014-01-05

影響を受けるパッケージ:

asterisk

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 732355.
Mitre の CVE 辞書: CVE-2013-7100.

詳細:

Jan Juergens さんが Asterisk の SMS メッセージのパーサにバッファオーバーフローを発見しました。

追加の変更がバックポートされています。詳細は http://downloads.asterisk.org/pub/security/AST-2013-007.html で完全に説明されています。

AST-2013-007 の修正に伴って新しい設定オプションが追加され、システム管理者が dialplan 以外の任意のインターフェイスでの「危険な」関数 (SHELL() 等) の展開を無効化できるようになっています。安定版 (stable) と旧安定版 (oldstable) ではこのオプションはデフォルトで無効となっています。有効化するには /etc/asterisk/asterisk.conf 中の「[options]」節に以下の行を追加 (して asterisk を再起動) してください。

live_dangerously = no

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 1:1.6.2.9-2+squeeze12 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1:1.8.13.1~dfsg1-3+deb7u3 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 1:11.7.0~dfsg-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1:11.7.0~dfsg-1 で修正されています。

直ちに asterisk パッケージをアップグレードすることを勧めます。