• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2276-2 asterisk -- множественные отказы в обслуживании

Главная Специалистам База уязвимостей DSA-2276-2 asterisk -- множественные отказы в обслуживании

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
Описание
Пол Беланджер сообщил об уязвимости в Asterisk, получившей идентификатор
AST-2011-008
(CVE-2011-2529),
с помощью которой неаутентифицированный злоумышленник удалённо может остановить
сервер Asterisk. Пакет, содержащий NULL-символ, приводит к тому, что код для
грамматического разбора SIP-заголовка изменяет несвязанные структуры памяти.
Джаред Мауч сообщил об уязвимости Asterisk, получившей идентификатор
AST-2011-009,
с помощью которой неаутентифицированный злоумышленник удалённо может остановить сервер Asterisk.
Если пользователь отправляет пакет с заголовком Contact с отсутствующим символом
меньше (<), то это приведёт к аварийной остановке сервера. Возможное временное решение состоит в отключении chan_sip.
Было сообщено об уязвимости, определяемой как
AST-2011-010
(CVE-2011-2535),
которая представляет собой ошибку проверки входных данных
в канальном драйвере IAX2. Неаутентифицированный злоумышленник
может удалённо остановить сервер Asterisk, отправив специально сформированную управляющую структуру.
В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в
версии 1.4.21.2~dfsg-3+lenny5.
В стабильном выпуске (squeeze) эта проблема была исправлена в
версии 1.6.2.9-2+squeeze3.
В тестируемом выпуске (wheezy) эта проблема была исправлена в
версии 1:1.8.4.3-1.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 1:1.8.4.3-1.
Рекомендуется обновить пакеты asterisk.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
asterisk - 1:1.6.2.9-2+squeeze3
asterisk-config - 1:1.6.2.9-2+squeeze3
asterisk-dbg - 1:1.6.2.9-2+squeeze3
asterisk-dev - 1:1.6.2.9-2+squeeze3
asterisk-doc - 1:1.6.2.9-2+squeeze3
asterisk-h323 - 1:1.6.2.9-2+squeeze3
asterisk-sounds-main - 1:1.6.2.9-2+squeeze3
Debian GNU/Linux 5:
noarch:
asterisk - 1:1.4.21.2~dfsg-3+lenny3
asterisk-config - 1:1.4.21.2~dfsg-3+lenny3
asterisk-dbg - 1:1.4.21.2~dfsg-3+lenny3
asterisk-dev - 1:1.4.21.2~dfsg-3+lenny3
asterisk-doc - 1:1.4.21.2~dfsg-3+lenny3
asterisk-h323 - 1:1.4.21.2~dfsg-3+lenny3
asterisk-sounds-main - 1:1.4.21.2~dfsg-3+lenny3
Ссылки
http://www.debian.org/security/dsa-2276/

Источник: CVE
Наименование: CVE-2011-2535
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2535

Источник: CVE
Наименование: CVE-2011-2529
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2529