Debian セキュリティ勧告

DSA-2835-1 asterisk -- バッファオーバーフロー

報告日時:
2014-01-05
影響を受けるパッケージ:
asterisk
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 732355.
Mitre の CVE 辞書: CVE-2013-7100.
詳細:

Jan Juergens さんが Asterisk の SMS メッセージのパーサにバッファオーバーフローを発見しました。

追加の変更がバックポートされています。詳細は http://downloads.asterisk.org/pub/security/AST-2013-007.html で完全に説明されています。

AST-2013-007 の修正に伴って新しい設定オプションが追加され、システム管理者が dialplan 以外の任意のインターフェイスでの「危険な」関数 (SHELL() 等) の展開を無効化できるようになっています。安定版 (stable) と旧安定版 (oldstable) ではこのオプションはデフォルトで無効となっています。有効化するには /etc/asterisk/asterisk.conf 中の「[options]」節に以下の行を追 (して asterisk を再起動) してください。

live_dangerously = no

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 1:1.6.2.9-2+squeeze12 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1:1.8.13.1~dfsg1-3+deb7u3 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 1:11.7.0~dfsg-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1:11.7.0~dfsg-1 で修正されています。

直ちに asterisk パッケージをアップグレードすることを勧めます。