The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"  +/
Сообщение от opennews (??) on 20-Май-17, 11:31 
В корректирующих выпусках коммуникационной платформы Asterisk 14.4.1 и 13.15.1 (http://www.asterisk.org/downloads/asterisk/all-asterisk-vers...) устранены (http://www.mail-archive.com/asterisk-announce@lists.dig...) три уязвимости, которым присвоен наивысший уровень опасности:

-  Переполнение буфера (http://downloads.asterisk.org/pub/security/AST-2017-002.html) в обработчике PJSIP, позволяет вызвать крах или потенциально выполнить код (возможность данного вида эксплуатации пока не подтверждена) через отправку неаутентифицированного SIP-пакета со специально изменёнными заголовками CSeq и Via.  Проблеме не подвержены конфигурации Asterisk с chan_sip;

-  Ошибка (http://downloads.asterisk.org/pub/security/AST-2017-003.html)  в парсере комбинированных (multi-part) запросов PJSIP позволяет осуществить чтение из области вне буфера и вызвать крах через удалённую отправку специально оформленных пакетов;

-  Ошибка (http://downloads.asterisk.org/pub/security/AST-2017-004.html) в канальном драйвере chan_skinny позволяет исчерпать всю доступную Asterisk  память через отправку специально оформленного SCCP-пакета из-за зацикливания, если размер пакета больше размера заголовка, но меньше чем размер, указанный в заголовке.


URL: http://www.mail-archive.com/asterisk-announce@lists.dig...
Новость: https://www.opennet.ru/opennews/art.shtml?num=46573

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"  +4 +/
Сообщение от Аноним (??) on 20-Май-17, 11:31 
А в chan_sip до сих пор не исправили строки:
ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));

даже в ветке master: https://raw.githubusercontent.com/asterisk/asterisk/master/c...

Что дает возможность брутить пароль по  SIP протоколу, а астериск будет в логах писать локальный хост астериска, а не ip кулхацкера. Соответственно  при помощи f2ban злоумышленник банится не будет.
Разработчикам писалось неоднократно, чувствуется сотрудничество с палестинцами.
Теперь и в PJSIP косяки.
Спасибо, будем использовать Sofia-SIP и FreeSWITCH. Астериск может где-нибудь в бэкэнде, для приложений.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"  –2 +/
Сообщение от Аноним (??) on 20-Май-17, 12:28 
Удивительно, что ты готов отказаться от целого продукта из-за одной строки, которую сам же и в состоянии поправить.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"  +5 +/
Сообщение от Аноним (??) on 20-Май-17, 12:36 
Эта строка как бы говорит нам об отношении разработчиков к безопасности.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"  +/
Сообщение от ram_scan on 21-Май-17, 11:07 
> Удивительно, что ты готов отказаться от целого продукта из-за одной строки, которую сам же и в состоянии поправить.

От "целого продукта" стоило отказаться хотя-бы потому что написан он (во всяком случае был написан еще несколько лет назад) просто безобразно, одни дедлоки в чан_сип 10 лет лечили, плюнули, и в итоге новый костыль написали, в котором опять что ни бага то 10 из 10 баллов. Для того чтобы астериск вылечить от врожденного уродства, его проще было написать с нуля. И фрисвитч был написан одним из авторов звездочки.

Я ушел на FreeSwitch 10 лет назад. О чем ни разу не пожалел.

Поговаривают что под него запилена весьма вменяемая свободная вебморда, с го и гейшами, но я ей не пользуюсь.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"  +/
Сообщение от Аноним (??) on 21-Май-17, 20:41 
Где можно найти адекватную доку и примеры на FreeSwitch? Хотел перекатиться, не получилось.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"  +/
Сообщение от . on 22-Май-17, 20:41 
> Где можно найти адекватную доку и примеры на FreeSwitch?

вероятно, там же, где и на asterisk?

> Хотел перекатиться, не получилось.

тот чувак, который за тебя настраивал aster, не пожелал возиться?


Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"  +/
Сообщение от Аноним (??) on 23-Май-17, 09:01 
> Я ушел на FreeSwitch 10 лет назад. О чем ни разу не
> пожалел.

На локалхосте? Или что она там держит у вас десктопные телефоны и пару транков?
Просто я попытался хотя бы составить план перевода колцентра с 3 линиями операторов (10, 25 и 75 человек) интегрированный с CRM и почтой. И оказалось, что функционала маловато. mod_callcenter уступает архаичным очередям астериска (с учётом возможностей диалплана) во всём, кроме производительности.

На этом вашем фрисвище можно делать только узлы связи, которые еще пойди залицензируй в роскомнадзоре и россвязи, а отличии от того же аста. Офисную телефонию вместо настенного панасоника. И интерактивную звонилку для нужд какого-нибудь самописного приложения.

Расскажите об историях успеха внедрения фрисвищей в крупных колцентраз со звонками от 10000 в сутки и выше за эти ваши 10 лет. Хочу, так сказать, расширить кругозор.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"  +/
Сообщение от ram_scan on 23-Май-17, 16:22 
Рассказываю. Работало и не жужжало во время дизастеров на нагрузке в 200 cps. В коллцентре ситихоумнета, в ту пору пока его мтс не купило.

Расскажите историю успеха за то как вы в роскомнадзор узел связи на заезде сдавали. Я весь во внимании.

Кстати как там, на звезде голос в предответном состоянии сделали уже ? Мне реально интересно. Я на фрисвитче так обьявления абонентам зачитывал.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"  +/
Сообщение от qwerty123 (??) on 26-Май-17, 13:31 
> Рассказываю. Работало и не жужжало во время дизастеров на нагрузке в 200

при всем уважении ко всем разработчикам, по возможностям asterisk dialplan замены пока нет.

> Расскажите историю успеха за то как вы в роскомнадзор узел связи на

да нормально все, покупается нечто сертифицированное на N номеров, а за ним/рядом астериск на N*100 абонентов, и все счастливы

> Кстати как там, на звезде голос в предответном состоянии сделали уже?

на локальных телефонах background before answer играет себе музыку.
на остальном не проверял, другим занимаюсь

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"  +/
Сообщение от qwerty123 (??) on 26-Май-17, 13:41 
еще о freeswitch, глянул статус

freebsd: ONLY_FOR_ARCHS=amd64

то есть на ARM или MISP фиг вам, в отличие от астериск.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

4. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"  +1 +/
Сообщение от Turbid (??) on 20-Май-17, 13:31 
О, еще один из креокамеры.

Еще с 10 версии есть Asterisk Security Framework и fail2ban должен его и использовать:
https://wiki.asterisk.org/wiki/display/AST/Security+Log+File...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"  +1 +/
Сообщение от Shodan (ok) on 21-Май-17, 00:32 
Этот модный pjsip полное реш#ето. Если смотреть чейнджлоги астериска, то львиная доля патчинга приходится на него
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"  +/
Сообщение от Аноним (??) on 23-Май-17, 08:47 
Что вполне закономерно, ведь библиотека до факта внедрения представляла собой реализацию как бы "клиента", в смысле клиентской роли в топологии SIP, а астериск реализовал на ней как бы "сервер", в смысле back to back агент в топологии SIP причём в манере астериска.
Представляю, как бы софию бы порвало, если бы её попытались так внедрить в астериск.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"  +/
Сообщение от qwerty123 (??) on 26-Май-17, 13:23 

>клиентской роли в топологии SIP

RTFM SIP и не писать ерунду.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

10. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"  +/
Сообщение от Темная материя on 22-Май-17, 12:35 
Пишите сами на питоне ... будет вам счастье!!!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру