Попередження про уразливість в Asterisk – AST-2010-001: Віддалена вразливість у T.38
Posted by admin in Asterisk Security Advisories, Security Advisories, asterisk, sip, t.38 on Лютий 2, 2010
АТС з Відкритим Кодом і Платформи Телефонії
Зловмисник може віддалено завершити роботу Asterisk, пославши негативне або дуже велике значення поля FaxMaxDatagram в SDP при установки з’єднання протоколу передачі факсів T.38 поверх SIP. Збій відбувається так само, якщо поле FaxMaxDatagram відсутній в SDP.
Для вирішення даної проблеми рекомендується встановити вийшли нові версії Asterisk 1.6.0.22, Asterisk 1.6.1.14, Asterisk 1.6.2.2.
Більш докладна інформація про уразливості доступна за адресою:
http://asterisk.net.ru/en/2010/02/03/asterisk-security-advisory-ast-2010-001-t-38-remote-crash-vulnerability/
Розробники Asterisk випустили Asterisk 1.6.0.22, Asterisk 1.6.1.14, Asterisk 1.6.2.2
Posted by admin in Asterisk Security Advisories, Releases, Security Advisories, asterisk, sip, t.38 on Лютий 2, 2010
АТС з Відкритим Кодом і Платформи Телефонії
Команда розробників Asterisk випустила нові версії Asterisk 1.6.0.22, 1.6.1.14 та 1.6.2.2, в яких виправлені виявлені нещодавно проблеми з віддаленою вразливістю в роботі протоколу T.38 в SIP драйвері AST-2010-001.
Зловмисник може віддалено завершити роботу Asterisk, пославши негативне або дуже велике значення поля FaxMaxDatagram в SDP при установки з’єднання протоколу передачі факсів T.38 поверх SIP. Збій відбувається так само, якщо поле FaxMaxDatagram відсутній в SDP.
Нові версії доступні для негайної завантаження за адресою http://downloads.asterisk.org/pub/telephony/asterisk/.
Повний список зміни можна знайти за адресами:
Вийшли нові версії DAHDI-Linux 2.2.1, DAHDI-Tools 2.2.1 та DAHDI-Linux-Complete 2.2.1+2.2.1
Posted by admin in dahdi, dahdi-linux, dahdi-linux-complete, dahdi-tools, vpmadt032 on Січень 20, 2010
DAHDI - Digium Asterisk Hardware Device Interface
Вийшла нова версія комерційного модуля Факс для Asterisk 1.1.6
T.38 Факс для Asterisk
Digium ада оголосити про вихід нової версії свого продукту Факс для Asterisk, комерційного доповнення роботи з факсами для Asterisk – програмної АТС з відкритим вихідним кодом.
Цей реліз містить ряд істотних поліпшень, включаючи:
- Підтримку 64-бітових версій Linux.
- Скорочення споживання ресурсів та підвищення продуктивності при обробці T.38 сесій.
- Спрощення обробки сесій при переході з режиму роботи з кодеком G.711 в режим роботи з протоколом T.38.
- Приведення модуля у відповідність з останніми доробками в програмному інтерфейсі Asterisk, що відносяться до обробки протоколу T.38, в наслідок чого збільшилася сумісність з більш широким спектром устаткування, що підтримує протокол T.38.
Нова версія модуля Факс для Asterisk 1.1.6 доступна для негайної завантаження за адресою http://www.digium.com/ua/docs/FAX/faa-download.php. Зверніть увагу, що ця версія використовує самі останні нововведення роботи з протоколом T.38 в Asterisk, через що вона не сумісна з усіма версіями Asterisk. Список підтримуваних версій Asterisk модулем Факс для Asterisk доступний на сторінці завантаження у випадаючому меню.
Для отримання додаткової інформації про модуль Факс для Asterisk, будь ласка, відвідайте сторінку продукту.
Дякуємо за вашу підтримку!
Read the rest of this entry »
Розробники Asterisk випустили Asterisk 1.4.27, Asterisk 1.6.0.18 і Asterisk 1.6.1.10
АТС з Відкритим Кодом і Платформи Телефонії
Команда розробників Asterisk рада повідомити про випуск Asterisk 1.4.27, Asterisk 1.6.0.18 і Asterisk 1.6.1.10. Ці версії доступні для скачування на сайті за адресою http://downloads.asterisk.org/pub/telephony/asterisk/
У цих версіях вирішено велику кількість проблем, про які повідомило співтовариство Asterisk.
Короткий виклад змін в цих версіях ви можете подивитися на сайті за адресою:
- http://downloads.asterisk.org/pub/telephony/asterisk/releases/asterisk-1.4.27-summary.html
- http://downloads.asterisk.org/pub/telephony/asterisk/releases/asterisk-1.6.0.18-summary.html
- http://downloads.asterisk.org/pub/telephony/asterisk/releases/asterisk-1.6.1.10-summary.html
Повний список змін в цих версіях ви можете подивитися на сайті за адресою:
- http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.4.27
- http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.6.0.18
- http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.6.1.10
Нижче наводиться далеко не повний список тих проблем, які були вирішені за участю спільноти Asterisk. Випуск цих версій Asterisk не був б можливим без вашої допомоги!
- Помилка сегментації в модулі chan_local – функція local_pvt_destroy
(Закриває помилку #15314. Повідомив sroberts. Перевірив працездатність виправлення davidw, lottc. Надав виправлення davidw.) - Помилка формування події T.38 reinvite в модулі chan_sip
(Закриває помилку #15373. Повідомив dcolombo. Перевірив працездатність виправлення dcolombo, mbrancaleoni. Надав виправлення mbrancaleoni.) - Менеджер завдань продовжує створювати файли /tmp/ast-ami-XXXXXX (без видалення) якщо хоча б один клієнт менеджера завдань залишається в системі
(Закриває помилку #15730. Повідомив zmehmood. Перевірив працездатність виправлення zmehmood. Надав виправлення junky.) - Функція BASE64_DECODE() додає сміття в кінець рядка декодування
(Закриває помилку #15271. Повідомив chappell. Перевірив працездатність виправлення kobaz. Надав виправлення chappell.) - Виправлення документації по ExternalIVR для версії Asterisk 1.4
(Закриває помилку #16220. Повідомив і надав виправлення thedavidfactor.)
Дякую вам за вашу незмінну підтримку Asterisk!
Read the rest of this entry »
Розробники Asterisk випустили Asterisk 1.4.27-rc3, Asterisk 1.6.0.18-rc1, Asterisk 1.6.1.10-rc1 і Asterisk 1.6.2.0-rc4
АТС з Відкритим Кодом і Платформи Телефонії
Команда розробників Asterisk оголосила про вихід наступного набору кандидатів в резлізи для версій Asterisk 1.4.27, 1.6.0.18, 1.6.1.10, і 1.6.2.0. Ці кандидати в релізи доступні для завантаження за адресою http://downloads.asterisk.org/pub/telephony/asterisk/
У цих кандидатів у релізи вирішені проблеми, які були повідомлені сообщенством за останній час. В даний час доступні версії Asterisk 1.4.27-rc3, 1.6.0.18-rc1, 1.6.1.10-rc1, і 1.6.2.0-rc4.
Будь ласка, зверніть увагу, що Asterisk 1.6.0.18-rc1 є продовженням роботи з виправлення помилок, які були розпочаті в Asterisk 1.6.0.16-rc2. Версія Asterisk 1.6.0.17 була випущена на основі Asterisk 1.6.0.15, в якій були устарнени проблеми безпеки.
Asterisk 1.6.1.10-rc1 є продовженням в роботі з виправленням помилок, які були розпочаті в Asterisk 1.6.1.7-rc2, а версії Asterisk 1.6.1.8 і Asterisk 1.6.1.9 були випущені для усунення проблем безпеки для гілки Asterisk 1.6.1.
Ці кандидати в релізи включають виправлення помилок разом з нещодавно випущеними виправленнями в безпеці.
Read the rest of this entry »
Вийшов Elastix 1.6
Elastix - Надійна програмна АТС
Шановне співтовариство Elastix,
Ми раді оголосити про випуск стабільної версії Elastix 1,6. Ви можете завантажити 32-бітні або 64-бітні ISO образи. Ця версія має ряд поліпшень в порівнянні з версією Elastix 1.5, наприклад, виправлення помилок у Elastix і CentOS. Ось деякі з найбільш важливих змін:
Розробники Asterisk випустили Asterisk 1.6.0.14-rc1 і Asterisk 1.6.1.5-rc1
Posted by admin in Release Candidates, asterisk, t.38 on Серпень 20, 2009
АТС з Відкритим Кодом і Платформи Телефонії
Команда розробників Asterisk оголосила про вихід кандидатів у релізи для версій Asterisk 1.6.0.14 и 1.6.1.5. Кандидати в реліз 1.6.0.14-rc1 и 1.6.1.5-rc1 доступні для негайного завантаження за адресою http://downloads.asterisk.org/pub/telephony/asterisk/
У цих версіях виправлено декілька проблем, повідомлених спільнотою, включаючи проблеми, пов’язані з роботою T.38 (проблеми #15649, #15610).
Повний список змін у цих релізах можна подивитися у файлі ChangeLog за адресами:
http://svn.asterisk.org/svn/asterisk/tags/1.6.0.14-rc1/ChangeLog
http://svn.asterisk.org/svn/asterisk/tags/1.6.1.5-rc1/ChangeLog
Проблеми, знайдені в цих та інших версіях, можуть бути повідомлені на веб-сайті https://issues.asterisk.org
Дякуємо Вам за Вашу незмінну підтримку Asterisk!
Проект Asterisk змінив постачальника музики на утриманні (МОН – Music-On-Hold)
АТС з Відкритим Кодом і Платформи Телефонії
Згідно з сьогоднішньою новиною на нашому блозі asterisk.net.ru, проект Asterisk змінив постачальника музики на утриманні (MOH), який постачав контент для Asterisk. У доповненні до майбутніх релізів Asterisk, ми так само замінили музику на утриманні на нові файли і в старих версіях Asterisk, для того, щоб не поширювати старі версії музики на утриманні.
Це означає, що у всі версії Asterisk, доступні на downloads.asterisk.org, було додано файли музики на утриманні від нового постачальника Opsound,і всі гілки та мітки в репозитарії svn.digium.com так само були змінені, таким чином, що всі завантаження по цим тегам і гілкам будуть включати нові файли музики на утриманні.
Нарешті, RPM файли з AsteriskNOW доступні на packages.asterisk.org були пересоздани з новими файлами музики на утриманні від постачальника Opsound.
Ми спробували внести зміни в досить зручним і безболісної формі, але якщо у Вас виникнуть питання, в зв’язку з цими змінами, будь ласка, не соромтеся розміщувати повідомлення в списку розсилки asterisk-users або на веб-сайті issues.asterisk.org.
Дякуємо за використання Asterisk!
Попередження про уразливість в Asterisk – AST-2009-005: Віддалена вразливість у драйвері каналу SIP
Posted by admin in Asterisk Security Advisories, Security Advisories, asterisk, sip on Серпень 11, 2009
АТС з Відкритим Кодом і Платформи Телефонії
У деяких реалізаціях libc, в сімействі функцій scanf використовується необмежений розмір стека пам’яті, до якого неодноразово виділяється рядок буфера до переходу до цільової типу. У поєднанні з виділенням стека для нитки, що використовується в Asterisk, і що менше, ніж значення за замовчуванням, атакуючий може вичерпати пам’ять стека нитки мережевої підсистеми SIP стеку, шляхом подставлення надмірно довгих числових рядків в різних полях.
Зазначимо, при тому, що потенційна вразливість існує в Asterisk протягом дуже довгого часу, її використання можливе тільки у версіях Asterisk 1.6.1 і вище, оскільки лише у цих версії стало можливим використовувати SIP пакети які перевищують 1500 байт. (Кількість рядків, що було використовано інженером з безпеки, було приблизно 32000 байт довжиною.)
У доповненні, хоча це може призвести до збою в роботі Asterisk, виконання довільного коду не представляється можливим.
Рекомендується встановити одне з оновлень Asterisk, які перераховані нижче.
|
Продукт |
Asterisk |
|
Резюме |
Віддалена вразливість у драйвері каналу SIP |
|
Тип Вразливості |
Відмова в обслуговуванні |
|
Сприйнятливість |
Віддалені неаутентіфіціровані сесії |
|
Серйозність |
Критична для Asterisk 1.6.1; менш важлива для версій з меншим номером |
|
Відома Експлуатація |
Ні |
|
Коли Повідомили |
28 липня 2009 року |
|
Хто Повідомив |
Nick Baggott < nbaggott AT mudynamics DOT com > |
|
Дата Публікації |
10 Серпня 2009 року |
|
Дата останнього оновлення |
10 Серпня 2009 року |
|
Контакт по Вразливості |
Tilghman Lesher < tlesher AT digium DOT com > |
|
Назва CVE |
CVE-2009-2726 |
