Posts Tagged Security Advisories
Предупреждение об уязвимости в Asterisk – AST-2010-001: Удаленная уязвимость в T.38
Posted by admin in Asterisk Security Advisories, Security Advisories, asterisk, sip, t.38 on Февраль 3, 2010
Asterisk АТС с Открытым Исходным Кодом и Платформа Телефонии
Злоумышленник может удаленно завершить работу Asterisk, послав отрицательное или очень большое значение поля FaxMaxDatagram в SDP при установки соединения протокола передачи факсов T.38 поверх SIP. Сбой происходит так же, если поле FaxMaxDatagram отсутствует в SDP.
Для решения данной проблемы рекомендуется установить вышедшие новые версии Asterisk 1.6.0.22, Asterisk 1.6.1.14, Asterisk 1.6.2.2.
Более подробная информация о уязвимости доступна по адресу:
http://asterisk.net.ru/en/2010/02/03/asterisk-security-advisory-ast-2010-001-t-38-remote-crash-vulnerability/
Разработчики Asterisk выпустили Asterisk 1.6.0.22, Asterisk 1.6.1.14, Asterisk 1.6.2.2
Posted by admin in Asterisk Security Advisories, Releases, Security Advisories, asterisk, sip, t.38 on Февраль 3, 2010
Asterisk АТС с Открытым Исходным Кодом и Платформа Телефонии
Команда разработчиков Asterisk выпустила новые версии Asterisk 1.6.0.22, 1.6.1.14 и 1.6.2.2, в которых исправлены обнаруженные недавно проблемы с удаленной уязвимостью в работе протокола T.38 в SIP драйвере AST-2010-001.
Злоумышленник может удаленно завершить работу Asterisk, послав отрицательное или очень большое значение поля FaxMaxDatagram в SDP при установки соединения протокола передачи факсов T.38 поверх SIP. Сбой происходит так же, если поле FaxMaxDatagram отсутствует в SDP.
Новые версии доступны для немедленной загрузки по адресу http://downloads.asterisk.org/pub/telephony/asterisk/.
Полный список изменения можно найти по адресам:
Предупреждение об уязвимости в Asterisk – AST-2009-005: Удаленная уязвимость в драйвере канала SIP
Posted by admin in Asterisk Security Advisories, Security Advisories, asterisk, sip on Август 11, 2009
Asterisk АТС с Открытым Исходным Кодом и Платформа Телефонии
В некоторых реализациях libc, в семействе функций scanf используется неограниченный размер стека памяти, в который неоднократно выделяется строка буфера до перехода к целевой типа. В сочетании с выделением стека для нити, которое используется в Asterisk, и которое меньше, чем значение по умолчанию, атакующий может исчерпать память стека нити сетевой подсистемы SIP стека, путем подставления чрезмерно длинных числовых строк в различных полях.
Заметим, при том, что потенциальная уязвимость существует в Asterisk на протяжении очень долгого времени, ее использование возможно только в версиях Asterisk 1.6.1 и выше, поскольку только в этих версии стало возможным использовать SIP пакеты превышающие 1500 байт. (Количество строк, используемых инженером по безопасности, было примерно 32000 байт длиной.)
В дополнении, хотя это может привести к сбою в работе Asterisk, выполнение произвольного кода не представляется возможным.
Рекомендуется установить одно из обновлений Asterisk, перечисленных ниже.
Продукт | Asterisk |
Резюме | Удаленная уязвимость в драйвере канала SIP |
Тип Уязвимости | Отказ в обслуживании |
Восприимчивость | Удаленные неаутентифицированные сессии |
Серьезность | Критическая для Asterisk 1.6.1; менее важная для версий с меньшим номером |
Известная Эксплуатация | Нет |
Когда Сообщили | 28 июля 2009 года |
Кто Сообщил | Nick Baggott < nbaggott AT mudynamics DOT com > |
Дата Публикации | 10 Августа 2009 года |
Дата Последнего Обновления | 10 Августа 2009 года |
Контакт по уязвимости | Tilghman Lesher < tlesher AT digium DOT com > |
Название CVE | CVE-2009-2726 |
Разработчики Asterisk выпустили Asterisk 1.2.34, Asterisk 1.4.26.1, Asterisk 1.6.0.13 и Asterisk 1.6.1.4
Posted by admin in Asterisk Security Advisories, Releases, Security Advisories, asterisk on Август 11, 2009
Asterisk АТС с Открытым Исходным Кодом и Платформа Телефонии
Команда разработчиков Asterisk рада сообщить о выходе релизов Asterisk 1.2.34, Asterisk 1.4.26.1, Asterisk 1.6.0.13 и Asterisk 1.6.1.4. Все эти версии доступны для загрузки по адресу http://downloads.asterisk.org/pub/telephony/asterisk/
В релизе Asterisk 1.6.1.4 исправлена критическая уязвимость в SIP стеке, с помощью которой удаленный пользователь мог аварийно завершить работу Asterisk. Хотя использование этой уязвимости не было продемонстрировано в других версиях Asterisk, детали уязвимости предполагают возможность ее использования в будущем. Поэтому мы решили выпустить новые версии всех текущих разрабатываемых версий, в которых исправлена эта уязвимость. Более подробную информацию о деталях этой уязвимости Вы можете получить, ознакомившись с рекомендациями AST-2009-005, которые были опубликованы параллельно с этой новостью.
Кроме того, пользователи Asterisk могли заметить, что мы пропустили номера версий Asterisk 1.6.0.11 и Asterisk 1.6.1.3. Это была сделано преднамеренно, с целью избежать путаницы по поводу того какие версии, что содержат. Под обеими этими версиями были выпущены кандидаты в релизы, поэтому, чтобы не вводить в заблуждение при поиске изменений в релизах с одинаковыми номерами было принято решение пропустить номера версий. Релизы в кандидаты будут перевыпущены с дополнительными корректировками, под номерами 1.6.0.14-rc1 и 1.6.1.5-rc1 соответственно.
Полный список изменений в этих релизах можно посмотреть в файле ChangeLog по адресам:
http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.2.34
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.4.26.1
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.6.0.13
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.6.1.4
Благодарим Вас за Вашу неизменную поддержку Asterisk!
Предупреждение об уязвимости в Asterisk – AST-2009-004
Posted by admin in Asterisk Security Advisories, Security Advisories, asterisk on Август 3, 2009
Asterisk АТС с Открытым Исходным Кодом и Платформа Телефонии
Предупреждения об уязвимостях в Asterisk – AST-2009-004
Атакующий может аварийно завершить работу Asterisk послав неправильно составленные RTP пакеты. Атакующий может только аварийно завершить работу Asterisk и не может выполнить произвольный код, используя эту уязвимость.
Пользователь должен обновить свою версию до версии описанной ниже в секции “Исправлено в”.
Продукт | Asterisk |
Резюме | Удаленная Уязвимость в RTP стеке |
Тип Уязвимости | Эксплуатационное завершение процесса |
Восприимчивость | Удаленные неаутентифицированные сессии |
Серьезность | Критическая |
Известная Эксплуатация | Нет |
Когда Сообщили | 27 июля 2009 |
Кто Сообщил | Marcus Hunger <hunger AT sipgate DOT de> |
Дата Публикации | 2 августа 2009 |
Дата Последнего Обновления | 2 августа 2009 |
Контакт по уязвимости | Mark Michelson <mmichelson AT digium DOT com> |
Название CVE |
Разработчики Asterisk выпустили Asterisk 1.6.0.11-rc2, Asterisk 1.6.1.2, Asterisk 1.6.1.3-rc1 и Asterisk 1.6.2.0-beta4
Posted by admin in Asterisk Security Advisories, Release Candidates, Releases, Security Advisories, asterisk, t.38 on Август 3, 2009
Asterisk АТС с Открытым Исходным Кодом и Платформа Телефонии
Команда разработчиков Asterisk рада сообщить о выходе второго кандидата в релизы Asterisk 1.6.0.11, о выходе релиза Asterisk 1.6.1.2, о выходе первого кандидата в релизы Asterisk 1.6.1.3, и о выходе четвертой бета версии Asterisk 1.6.2.0. Все эти версии доступны для загрузки по адресу http://downloads.asterisk.org/pub/telephony/asterisk/.
В релизе Asterisk 1.6.1.2 исправлена критическая уязвимость в RTP стеке, с помощью которой удаленный пользователь мог аварийно завершить работу Asterisk. Параллельно с этим анонсом, выпущено соответствующее предупреждение об уязвимости AST-2009-004. Для получения более подробной информации, пожалуйста, ознакомьтесь с этой информацией.
Выпущенные кандидаты в релизы и бета версия, в дополнении с другими исправлениями, содержат основательно переработанную реализацию T.38 протокола для отправки и приему факсов. Если Вы испытывали проблемы в работе протокола T.38 в версиях Asterisk 1.6, мы настоятельно рекомендуем попробовать один из этих кандидатов в релизы, чтобы определить, были ли устранены проблемы, связанные с работой T.38.
