Archive for category Asterisk Security Advisories
Попередження про уразливість в Asterisk – AST-2010-001: Віддалена вразливість у T.38
Posted by admin in Asterisk Security Advisories, Security Advisories, asterisk, sip, t.38 on Лютий 3, 2010
АТС з Відкритим Кодом і Платформи Телефонії
Зловмисник може віддалено завершити роботу Asterisk, пославши негативне або дуже велике значення поля FaxMaxDatagram в SDP при установки з’єднання протоколу передачі факсів T.38 поверх SIP. Збій відбувається так само, якщо поле FaxMaxDatagram відсутній в SDP.
Для вирішення даної проблеми рекомендується встановити вийшли нові версії Asterisk 1.6.0.22, Asterisk 1.6.1.14, Asterisk 1.6.2.2.
Більш докладна інформація про уразливості доступна за адресою:
http://asterisk.net.ru/en/2010/02/03/asterisk-security-advisory-ast-2010-001-t-38-remote-crash-vulnerability/
Розробники Asterisk випустили Asterisk 1.6.0.22, Asterisk 1.6.1.14, Asterisk 1.6.2.2
Posted by admin in Asterisk Security Advisories, Releases, Security Advisories, asterisk, sip, t.38 on Лютий 3, 2010
АТС з Відкритим Кодом і Платформи Телефонії
Команда розробників Asterisk випустила нові версії Asterisk 1.6.0.22, 1.6.1.14 та 1.6.2.2, в яких виправлені виявлені нещодавно проблеми з віддаленою вразливістю в роботі протоколу T.38 в SIP драйвері AST-2010-001.
Зловмисник може віддалено завершити роботу Asterisk, пославши негативне або дуже велике значення поля FaxMaxDatagram в SDP при установки з’єднання протоколу передачі факсів T.38 поверх SIP. Збій відбувається так само, якщо поле FaxMaxDatagram відсутній в SDP.
Нові версії доступні для негайної завантаження за адресою http://downloads.asterisk.org/pub/telephony/asterisk/.
Повний список зміни можна знайти за адресами:
Попередження про уразливість в Asterisk – AST-2009-005: Віддалена вразливість у драйвері каналу SIP
Posted by admin in Asterisk Security Advisories, Security Advisories, asterisk, sip on Серпень 11, 2009
АТС з Відкритим Кодом і Платформи Телефонії
У деяких реалізаціях libc, в сімействі функцій scanf використовується необмежений розмір стека пам’яті, до якого неодноразово виділяється рядок буфера до переходу до цільової типу. У поєднанні з виділенням стека для нитки, що використовується в Asterisk, і що менше, ніж значення за замовчуванням, атакуючий може вичерпати пам’ять стека нитки мережевої підсистеми SIP стеку, шляхом подставлення надмірно довгих числових рядків в різних полях.
Зазначимо, при тому, що потенційна вразливість існує в Asterisk протягом дуже довгого часу, її використання можливе тільки у версіях Asterisk 1.6.1 і вище, оскільки лише у цих версії стало можливим використовувати SIP пакети які перевищують 1500 байт. (Кількість рядків, що було використовано інженером з безпеки, було приблизно 32000 байт довжиною.)
У доповненні, хоча це може призвести до збою в роботі Asterisk, виконання довільного коду не представляється можливим.
Рекомендується встановити одне з оновлень Asterisk, які перераховані нижче.
Продукт | Asterisk |
Резюме | Віддалена вразливість у драйвері каналу SIP |
Тип Вразливості | Відмова в обслуговуванні |
Сприйнятливість | Віддалені неаутентіфіціровані сесії |
Серйозність | Критична для Asterisk 1.6.1; менш важлива для версій з меншим номером |
Відома Експлуатація | Ні |
Коли Повідомили | 28 липня 2009 року |
Хто Повідомив | Nick Baggott < nbaggott AT mudynamics DOT com > |
Дата Публікації | 10 Серпня 2009 року |
Дата останнього оновлення | 10 Серпня 2009 року |
Контакт по Вразливості | Tilghman Lesher < tlesher AT digium DOT com > |
Назва CVE | CVE-2009-2726 |
Розробники Asterisk випустили Asterisk 1.2.34, Asterisk 1.4.26.1, Asterisk 1.6.0.13 і Asterisk 1.6.1.4
Posted by admin in Asterisk Security Advisories, Releases, Security Advisories, asterisk on Серпень 11, 2009
АТС з Відкритим Кодом і Платформи Телефонії
Команда розробників Asterisk рада повідомити про вихід релізів релизов Asterisk 1.2.34, Asterisk 1.4.26.1, Asterisk 1.6.0.13 і Asterisk 1.6.1.4. Всі ці версії доступні для завантаження за адресою http://downloads.asterisk.org/pub/telephony/asterisk/
В релізі Asterisk 1.6.1.4 виправлена критична уразливість у SIP стекі, за допомогою якої віддалений користувач міг аварійно завершити роботу Asterisk. Хоча використання цієї вразливості не було продемонстровано в інших версіях Asterisk, деталі уразливості припускають можливість її використання в майбутньому. Тому ми вирішили випустити нові версії всіх поточних розроблювальних версій, у яких виправлена ця вразливість. Більш докладну інформацію про деталі цієї вразливості Ви можете отримати, ознайомившись з рекомендаціями AST-2009-005, які були опубліковані паралельно з цією новиною.
Крім того, користувачі Asterisk могли помітити, що ми пропустили номери версій Asterisk 1.6.0.11 і Asterisk 1.6.1.3. Це було зроблено навмисно, з метою уникнути плутанини з приводу того які версії, що містять. Під обома цими версіями були випущені кандидати в релізи, тому, щоб не вводити в оману при пошуку змін в релізах з однаковими номерами було прийнято рішення пропустити номери версій. Релізи в кандидати будуть перевипущено з додатковими коректування, під номерами 1.6.0.14-rc1 и 1.6.1.5-rc1 відповідно.
Повний список змін у цих релізах можна подивитися у файлі ChangeLog за адресами:
http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.2.34
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.4.26.1
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.6.0.13
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.6.1.4
Дякуємо Вам за Вашу незмінну підтримку Asterisk!
Попередження про уразливість в Asterisk – AST-2009-004
Posted by admin in Asterisk Security Advisories, Security Advisories, asterisk on Серпень 3, 2009
АТС з Відкритим Кодом і Платформи Телефонії
Попередження про уразливість в Asterisk – AST-2009-004
Атакуючий може аварійно завершити роботу Asterisk послав неправильно оформлені RTP пакети. Атакуючий може тільки аварійно завершити роботу Asterisk і не може виконати довільний код, використовуючи цю уразливість.
Користувач повинен поновити свою версію до версії описаною нижче у секції “Виправлено в”.
Продукт | Asterisk |
Резюме | Віддалена Вразливість в RTP стекі |
Тип Вразливості | Експлуатаційне завершення процесу |
Сприйнятливість | Віддалені неаутентіфіціровані сесії |
Серйозність | Критична |
Відома Експлуатація | Ні |
Коли Повідомили | 27 липня 2009 |
Хто Повідомив | Marcus Hunger <hunger AT sipgate DOT de> |
Дата Публікації | 2 серпня 2009 |
Дата останнього оновлення | 2 серпня 2009 |
Контакт по Вразливості | Mark Michelson <mmichelson AT digium DOT com> |
Назва CVE |
Розробники Asterisk випустили Asterisk 1.6.0.11-rc2, Asterisk 1.6.1.2, Asterisk 1.6.1.3-rc1 и Asterisk 1.6.2.0-beta4
Posted by admin in Asterisk Security Advisories, Release Candidates, Releases, Security Advisories, asterisk, t.38 on Серпень 3, 2009
АТС з Відкритим Кодом і Платформи Телефонії
Команда розробників Asterisk рада повідомити про вихід другого кандидата в релізи Asterisk 1.6.0.11, про вихід релізу Asterisk 1.6.1.2, про вихід першого кандидата в релізи Asterisk 1.6.1.3, і про вихід четвертої бета версії Asterisk 1.6.2.0. Всі ці версії доступні для завантаження за адресою http://downloads.asterisk.org/pub/telephony/asterisk/.
У релізі Asterisk 1.6.1.2 виправлена критична уразливість в RTP стекі, за допомогою якої віддалений користувач міг аварійно завершити роботу Asterisk. Паралельно з цим анонсом, випущено відповідне попередження про небезпеку AST-2009-004. Для одержання більш докладної інформації, будь ласка, ознайомтеся з цією інформацією.
Випущені кандидати в релізи та бета-версія, в доповненні з іншими виправленнями, містять грунтовно перероблену реалізацію T.38 протоколу для відправки і прийому факсів. Якщо Ви відчували проблеми в роботі протоколу T.38 у версіях Asterisk 1.6, ми настійно рекомендуємо спробувати один з цих кандидатів у релізи, щоб визначити, чи були усунуті проблеми, пов’язані з роботою T.38.
You are currently browsing the archives for the Asterisk Security Advisories category.
