UPDATE: DFN-CERT-2014-0791 Digium Asterisk, Digium Certified Asterisk: Mehrere Schwachstellen ermöglichen unter anderem das Ausführen beliebigen Programmcodes [Linux][Fedora][Netzwerk]

UPDATE: DFN-CERT-2014-0791 Digium Asterisk, Digium Certified Asterisk: Mehrere Schwachstellen ermöglichen unter anderem das Ausführen beliebigen Programmcodes [Linux][Fedora][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (23.06.2014):
Durch die Behebung der Schwachstelle CVE-2014-4047 wurde ein Fehler im
Umgang mit TCP und TLS eingeführt, der durch ein weiteres Update jetzt auf
Version 1.8.15-cert7, 11.6-cert4, 1.8.28.2, 11.10.2, und 12.3.2 behoben
wurde.
Und für die Distributionen Fedora 19 und 20 wurden Sicherheitspatches
bereitgestellt.
Version 1 (18.06.2014):
Neues Advisory

Betroffene Software:

Digium Asterisk >= 1.8.0
Digium Asterisk <= 1.8.28.1 Digium Asterisk >= 11.0
Digium Asterisk <= 11.10.1 Digium Asterisk >= 12.0
Digium Asterisk <= 12.3.1 Digium Certified Asterisk >= 1.8.15
Digium Certified Asterisk <= 1.8.15 Cert6 Digium Certified Asterisk >= 11.6
Digium Certified Asterisk <= 11.6 Cert3 Betroffene Plattformen: Digium Asterisk Red Hat Fedora 19 Red Hat Fedora 20 Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen ausnutzen, um Denial-of-Service-Angriffe durchzuführen. Ein entfernter, authentisierter Benutzer, als Angreifer, kann eine der Schwachstellen ausnutzen, um beliebige Shell-Befehle auszuführen. Patch: Asterisk Security Advisory AST-2014-005 http://downloads.asterisk.org/pub/security/AST-2014-005.html

Patch:

Asterisk Security Advisory AST-2014-006

http://downloads.asterisk.org/pub/security/AST-2014-006.html

Patch:

Asterisk Security Advisory AST-2014-007

http://downloads.asterisk.org/pub/security/AST-2014-007.html

Patch:

Asterisk Security Advisory AST-2014-008

http://downloads.asterisk.org/pub/security/AST-2014-008.html

Patch:

Fedora Security Update FEDORA-2014-7551

https://admin.fedoraproject.org/updates/FEDORA-2014-7551/asterisk-11.10.2-2.fc20

Patch:

Fedora Security Update FEDORA-2014-7570

https://admin.fedoraproject.org/updates/FEDORA-2014-7570/asterisk-11.10.2-2.fc19

CVE-2014-4048: Schwachstelle in Asterisk Open Source erlaubt
Denial-of-Service

Eine Schwachstelle besteht im PJSIP-Channel-Treiber in Asterisk Open Source
bevor 12.3.1. Diese Schwachstelle erlaubt einem entfernten, nicht
authentisierten Angreifer, indem er eine Registrierungsanfrage
(“subscription request”) abbricht, bevor diese vollständig ist, einen
Denial-of-Service-Zustand (“deadlock”) herbeizuführen.

CVE-2014-4047: Schwachstelle in Asterisk Open Source erlaubt
Denial-of-Service

Eine Schwachstelle besteht in Asterisk Open Source 1.8.x bevor 1.8.28.1,
11.x bevor 11.10.1 und 12.x bevor 12.3.1 sowie Certified Asterisk 1.8.15
bevor 1.8.15-cert6 und 11.6 bevor 11.6-cert3. Die Schwachstelle erlaubt
einem entfernten, nicht authentisierten Angreifer, mittels einer großen
Anzahl von (1) inaktiven oder (2) nicht kompletten HTTP-Verbindungen, einen
Denial-of-Service-Zustand (“connection consumption”) herbeizuführen.
Update: Durch die Behebung dieser Schwachstelle ist ein Fehler im Umgang mit
TCP und TLS eingeführt worden, der das Senden von Daten über diese
Protokolle verhindert. Deshalb wurden weitere Updates zur Verfügung
gestellt, konkret die Versionen 1.8.15-cert7, 11.6-cert4, 1.8.28.2, 11.10.2,
und 12.3.2.

CVE-2014-4046: Schwachstelle in Asterisk Open Source erlaubt Ausführen von
Shell-Kommandos

Eine Schwachstelle besteht in Asterisk Open Source 11.x bevor 11.10.1 und
12.x bevor 12.3.1 sowie Certified Asterisk 11.6 bevor 11.6-cert3. Diese
Schwachstelle erlaubt einem entfernten, authentisierten Benutzer des
Managers, als Angreifer, über eine MixMonitor-Aktion, beliebige
Shell-Kommandos auszuführen.

CVE-2014-4045: Schwachstelle in Asterisk Open Source erlaubt
Denial-of-Service

Eine Schwachstelle besteht im “Publish/Subscribe”-Framework in dem
PJSIP-Channel-Treiber in Asterisk Open Source 12.x bevor 12.3.1, wenn
“sub_min_expiry” auf “0” gesetzt ist. Die Schwachstelle kann von einem
entfernten, nicht authentisierten Angreifer ausgenutzt werden, mittels einer
Deregistrierungsanfrage (“unsubcribe request”), wenn nicht auf dem
betroffenen Gerät registriert, um einen Denial-of-Service-Zustand
(“assertion failure” und Absturz) herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0791/

Asterisk Security Advisory AST-2014-005:
http://downloads.asterisk.org/pub/security/AST-2014-005.html

Asterisk Security Advisory AST-2014-006:
http://downloads.asterisk.org/pub/security/AST-2014-006.html

Asterisk Security Advisory AST-2014-007:
http://downloads.asterisk.org/pub/security/AST-2014-007.html

Asterisk Security Advisory AST-2014-008:
http://downloads.asterisk.org/pub/security/AST-2014-008.html

Schwachstelle CVE-2014-4045 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4045

Schwachstelle CVE-2014-4046 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4046

Schwachstelle CVE-2014-4047 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4047

Schwachstelle CVE-2014-4048 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4048

Fedora Security Update FEDORA-2014-7551:
https://admin.fedoraproject.org/updates/FEDORA-2014-7551/asterisk-11.10.2-2.fc20

Fedora Security Update FEDORA-2014-7570:
https://admin.fedoraproject.org/updates/FEDORA-2014-7570/asterisk-11.10.2-2.fc19

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben