Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2835-1 asterisk

Säkerhetsbulletin från Debian

DSA-2835-1 asterisk -- buffertspill

Rapporterat den:

2014-01-05

Berörda paket:

asterisk

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 732355.
I Mitres CVE-förteckning: CVE-2013-7100.

Ytterligare information:

Jan Juergens upptäckte ett buffertspill i tolken av SMS-meddelanden i Asterisk.

Ytterligare en förändring bakåtporterades, som är fullt beskriven i http://downloads.asterisk.org/pub/security/AST-2013-007.html

Med rättningen för AST-2013-007 lades ett nytt konfigurationsalternativ till för att tillåta systemadministratören att inaktivera expansionen av farliga funktioner (så som SHELL()) från alla gränssnitt som inte finns i uppringningsplanen. I den stabila och gamla stabila utgåvan är detta alternativ inaktiverat som standard. För att aktivera det, lägg till följande rad i sektionen '[options]' i /etc/asterisk/asterisk.conf (och starta om asterisk)

live_dangerously = no

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 1:1.6.2.9-2+squeeze12.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 1:1.8.13.1~dfsg1-3+deb7u3.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 1:11.7.0~dfsg-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 1:11.7.0~dfsg-1.

Vi rekommenderar att ni uppgraderar era asterisk-paket.