Posts Tagged Asterisk Security Advisories
Предупреждение об уязвимости в Asterisk – AST-2010-001: Удаленная уязвимость в T.38
Posted by admin in Asterisk Security Advisories, Security Advisories, asterisk, sip, t.38 on Февраль 3, 2010
Asterisk АТС с Открытым Исходным Кодом и Платформа Телефонии
Злоумышленник может удаленно завершить работу Asterisk, послав отрицательное или очень большое значение поля FaxMaxDatagram в SDP при установки соединения протокола передачи факсов T.38 поверх SIP. Сбой происходит так же, если поле FaxMaxDatagram отсутствует в SDP.
Для решения данной проблемы рекомендуется установить вышедшие новые версии Asterisk 1.6.0.22, Asterisk 1.6.1.14, Asterisk 1.6.2.2.
Более подробная информация о уязвимости доступна по адресу:
http://asterisk.net.ru/en/2010/02/03/asterisk-security-advisory-ast-2010-001-t-38-remote-crash-vulnerability/
Разработчики Asterisk выпустили Asterisk 1.6.0.22, Asterisk 1.6.1.14, Asterisk 1.6.2.2
Posted by admin in Asterisk Security Advisories, Releases, Security Advisories, asterisk, sip, t.38 on Февраль 3, 2010
Asterisk АТС с Открытым Исходным Кодом и Платформа Телефонии
Команда разработчиков Asterisk выпустила новые версии Asterisk 1.6.0.22, 1.6.1.14 и 1.6.2.2, в которых исправлены обнаруженные недавно проблемы с удаленной уязвимостью в работе протокола T.38 в SIP драйвере AST-2010-001.
Злоумышленник может удаленно завершить работу Asterisk, послав отрицательное или очень большое значение поля FaxMaxDatagram в SDP при установки соединения протокола передачи факсов T.38 поверх SIP. Сбой происходит так же, если поле FaxMaxDatagram отсутствует в SDP.
Новые версии доступны для немедленной загрузки по адресу http://downloads.asterisk.org/pub/telephony/asterisk/.
Полный список изменения можно найти по адресам:
Предупреждение об уязвимости в Asterisk – AST-2009-005: Удаленная уязвимость в драйвере канала SIP
Posted by admin in Asterisk Security Advisories, Security Advisories, asterisk, sip on Август 11, 2009
Asterisk АТС с Открытым Исходным Кодом и Платформа Телефонии
В некоторых реализациях libc, в семействе функций scanf используется неограниченный размер стека памяти, в который неоднократно выделяется строка буфера до перехода к целевой типа. В сочетании с выделением стека для нити, которое используется в Asterisk, и которое меньше, чем значение по умолчанию, атакующий может исчерпать память стека нити сетевой подсистемы SIP стека, путем подставления чрезмерно длинных числовых строк в различных полях.
Заметим, при том, что потенциальная уязвимость существует в Asterisk на протяжении очень долгого времени, ее использование возможно только в версиях Asterisk 1.6.1 и выше, поскольку только в этих версии стало возможным использовать SIP пакеты превышающие 1500 байт. (Количество строк, используемых инженером по безопасности, было примерно 32000 байт длиной.)
В дополнении, хотя это может привести к сбою в работе Asterisk, выполнение произвольного кода не представляется возможным.
Рекомендуется установить одно из обновлений Asterisk, перечисленных ниже.
Продукт | Asterisk |
Резюме | Удаленная уязвимость в драйвере канала SIP |
Тип Уязвимости | Отказ в обслуживании |
Восприимчивость | Удаленные неаутентифицированные сессии |
Серьезность | Критическая для Asterisk 1.6.1; менее важная для версий с меньшим номером |
Известная Эксплуатация | Нет |
Когда Сообщили | 28 июля 2009 года |
Кто Сообщил | Nick Baggott < nbaggott AT mudynamics DOT com > |
Дата Публикации | 10 Августа 2009 года |
Дата Последнего Обновления | 10 Августа 2009 года |
Контакт по уязвимости | Tilghman Lesher < tlesher AT digium DOT com > |
Название CVE | CVE-2009-2726 |
Предупреждение об уязвимости в Asterisk – AST-2009-004
Posted by admin in Asterisk Security Advisories, Security Advisories, asterisk on Август 3, 2009
Asterisk АТС с Открытым Исходным Кодом и Платформа Телефонии
Предупреждения об уязвимостях в Asterisk – AST-2009-004
Атакующий может аварийно завершить работу Asterisk послав неправильно составленные RTP пакеты. Атакующий может только аварийно завершить работу Asterisk и не может выполнить произвольный код, используя эту уязвимость.
Пользователь должен обновить свою версию до версии описанной ниже в секции “Исправлено в”.
Продукт | Asterisk |
Резюме | Удаленная Уязвимость в RTP стеке |
Тип Уязвимости | Эксплуатационное завершение процесса |
Восприимчивость | Удаленные неаутентифицированные сессии |
Серьезность | Критическая |
Известная Эксплуатация | Нет |
Когда Сообщили | 27 июля 2009 |
Кто Сообщил | Marcus Hunger <hunger AT sipgate DOT de> |
Дата Публикации | 2 августа 2009 |
Дата Последнего Обновления | 2 августа 2009 |
Контакт по уязвимости | Mark Michelson <mmichelson AT digium DOT com> |
Название CVE |
Разработчики Asterisk выпустили Asterisk 1.6.0.11-rc2, Asterisk 1.6.1.2, Asterisk 1.6.1.3-rc1 и Asterisk 1.6.2.0-beta4
Posted by admin in Asterisk Security Advisories, Release Candidates, Releases, Security Advisories, asterisk, t.38 on Август 3, 2009
Asterisk АТС с Открытым Исходным Кодом и Платформа Телефонии
Команда разработчиков Asterisk рада сообщить о выходе второго кандидата в релизы Asterisk 1.6.0.11, о выходе релиза Asterisk 1.6.1.2, о выходе первого кандидата в релизы Asterisk 1.6.1.3, и о выходе четвертой бета версии Asterisk 1.6.2.0. Все эти версии доступны для загрузки по адресу http://downloads.asterisk.org/pub/telephony/asterisk/.
В релизе Asterisk 1.6.1.2 исправлена критическая уязвимость в RTP стеке, с помощью которой удаленный пользователь мог аварийно завершить работу Asterisk. Параллельно с этим анонсом, выпущено соответствующее предупреждение об уязвимости AST-2009-004. Для получения более подробной информации, пожалуйста, ознакомьтесь с этой информацией.
Выпущенные кандидаты в релизы и бета версия, в дополнении с другими исправлениями, содержат основательно переработанную реализацию T.38 протокола для отправки и приему факсов. Если Вы испытывали проблемы в работе протокола T.38 в версиях Asterisk 1.6, мы настоятельно рекомендуем попробовать один из этих кандидатов в релизы, чтобы определить, были ли устранены проблемы, связанные с работой T.38.
