Выпущено несколько новых версий Asterisk PBX - 1.2.27, 1.4.18.1, 1.4.19-rc3 и 1.6.0-beta6, в которых устранены три опасные уязвимости:
- AST-2008-002 - два переполнения буфера в реализации RTP кодека. Первое может привести к обнулению определенных ячеек памяти при отправке специальным образом скомпонованных SIP пакетов. Второе переполнение буфера потенциально можно использовать для выполнения кода злоумышленника. Проблеме подвержены все версии Asterisk 1.4 и 1.6, при условии использования протокола SIP;
- AST-2008-003 - уязвимость позволяющая злоумышленнику совершить звонок в обход средств SIP аутентификации. Проблеме подвержены все версии Asterisk 1.0, 1.2, 1.4 и 1.6, при условии использования протокола SIP;
- AST-2008-004 - ошибка форматирования строки в коде ведения логов и интерфейсе управления. Может привести к краху процесса. Проблеме подвержена только экспериментальная ветка Asterisk 1.6.
|