The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

20.05.2017 09:56  В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости

В корректирующих выпусках коммуникационной платформы Asterisk 14.4.1 и 13.15.1 устранены три уязвимости, которым присвоен наивысший уровень опасности:

  • Переполнение буфера в обработчике PJSIP, позволяет вызвать крах или потенциально выполнить код (возможность данного вида эксплуатации пока не подтверждена) через отправку неаутентифицированного SIP-пакета со специально изменёнными заголовками CSeq и Via. Проблеме не подвержены конфигурации Asterisk с chan_sip;
  • Ошибка в парсере комбинированных (multi-part) запросов PJSIP позволяет осуществить чтение из области вне буфера и вызвать крах через удалённую отправку специально оформленных пакетов;
  • Ошибка в канальном драйвере chan_skinny позволяет исчерпать всю доступную Asterisk память через отправку специально оформленного SCCP-пакета из-за зацикливания, если размер пакета больше размера заголовка, но меньше чем размер, указанный в заголовке.


  1. Главная ссылка к новости (http://www.mail-archive.com/as...)
  2. OpenNews: Обновление Asterisk 13.14.1 и 14.3.1 с устранением удалённой уязвимости
  3. OpenNews: Релиз коммуникационной платформы Asterisk 14
  4. OpenNews: Релиз коммуникационной платформы Asterisk 13
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: asterisk, voip
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:31, 20/05/2017 [ответить] [смотреть все]
  • +4 +/
    А в chan_sip до сих пор не исправили строки ast_log LOG_NOTICE, Failed to auth... весь текст скрыт [показать]
     
     
  • 2.2, Аноним, 12:28, 20/05/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Удивительно, что ты готов отказаться от целого продукта из-за одной строки, кото... весь текст скрыт [показать]
     
     
  • 3.3, Аноним, 12:36, 20/05/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Эта строка как бы говорит нам об отношении разработчиков к безопасности.
     
  • 3.8, ram_scan, 11:07, 21/05/2017 [^] [ответить] [смотреть все]  
  • +/
    > Удивительно, что ты готов отказаться от целого продукта из-за одной строки, которую сам же и в состоянии поправить.

    От "целого продукта" стоило отказаться хотя-бы потому что написан он (во всяком случае был написан еще несколько лет назад) просто безобразно, одни дедлоки в чан_сип 10 лет лечили, плюнули, и в итоге новый костыль написали, в котором опять что ни бага то 10 из 10 баллов. Для того чтобы астериск вылечить от врожденного уродства, его проще было написать с нуля. И фрисвитч был написан одним из авторов звездочки.

    Я ушел на FreeSwitch 10 лет назад. О чем ни разу не пожалел.

    Поговаривают что под него запилена весьма вменяемая свободная вебморда, с го и гейшами, но я ей не пользуюсь.

     
     
  • 4.9, Аноним, 20:41, 21/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Где можно найти адекватную доку и примеры на FreeSwitch Хотел перекатиться, не ... весь текст скрыт [показать]
     
     
  • 5.11, ., 20:41, 22/05/2017 [^] [ответить] [смотреть все]  
  • +/
    > Где можно найти адекватную доку и примеры на FreeSwitch?

    вероятно, там же, где и на asterisk?

    > Хотел перекатиться, не получилось.

    тот чувак, который за тебя настраивал aster, не пожелал возиться?


     
  • 4.13, Аноним, 09:01, 23/05/2017 [^] [ответить] [смотреть все]  
  • +/
    На локалхосте Или что она там держит у вас десктопные телефоны и пару транков ... весь текст скрыт [показать]
     
     
  • 5.14, ram_scan, 16:22, 23/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Рассказываю. Работало и не жужжало во время дизастеров на нагрузке в 200 cps. В коллцентре ситихоумнета, в ту пору пока его мтс не купило.

    Расскажите историю успеха за то как вы в роскомнадзор узел связи на заезде сдавали. Я весь во внимании.

    Кстати как там, на звезде голос в предответном состоянии сделали уже ? Мне реально интересно. Я на фрисвитче так обьявления абонентам зачитывал.

     
     
  • 6.16, qwerty123, 13:31, 26/05/2017 [^] [ответить] [смотреть все]  
  • +/
    > Рассказываю. Работало и не жужжало во время дизастеров на нагрузке в 200

    при всем уважении ко всем разработчикам, по возможностям asterisk dialplan замены пока нет.

    > Расскажите историю успеха за то как вы в роскомнадзор узел связи на

    да нормально все, покупается нечто сертифицированное на N номеров, а за ним/рядом астериск на N*100 абонентов, и все счастливы

    > Кстати как там, на звезде голос в предответном состоянии сделали уже?

    на локальных телефонах background before answer играет себе музыку.
    на остальном не проверял, другим занимаюсь

     
  • 6.17, qwerty123, 13:41, 26/05/2017 [^] [ответить] [смотреть все]  
  • +/
    еще о freeswitch, глянул статус

    freebsd: ONLY_FOR_ARCHS=amd64

    то есть на ARM или MISP фиг вам, в отличие от астериск.

     
  • 2.4, Turbid, 13:31, 20/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    О, еще один из креокамеры.

    Еще с 10 версии есть Asterisk Security Framework и fail2ban должен его и использовать:
    https://wiki.asterisk.org/wiki/display/AST/Security+Log+File+Format

     
  • 1.5, Shodan, 00:32, 21/05/2017 [ответить] [смотреть все]  
  • +1 +/
    Этот модный pjsip полное реш#ето. Если смотреть чейнджлоги астериска, то львиная доля патчинга приходится на него
     
     
  • 2.12, Аноним, 08:47, 23/05/2017 [^] [ответить] [смотреть все]  
  • +/
    Что вполне закономерно, ведь библиотека до факта внедрения представляла собой ре... весь текст скрыт [показать]
     
     
  • 3.15, qwerty123, 13:23, 26/05/2017 [^] [ответить] [смотреть все]  
  • +/

    >клиентской роли в топологии SIP

    RTFM SIP и не писать ерунду.

     
  • 1.10, Темная материя, 12:35, 22/05/2017 [ответить] [смотреть все]  
  • +/
    Пишите сами на питоне ... будет вам счастье!!!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor