UPDATE: DFN-CERT-2014-1638 Digium Asterisk, Digium Certified Asterisk: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora][Netzwerk]

UPDATE: DFN-CERT-2014-1638 Digium Asterisk, Digium Certified Asterisk: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (06.04.2015):
Für die Distributionen Fedora 20 und Fedora 21 stehen Sicherheitsupdates
im Status ‘testing’ zur Verfügung.
Version 1 (11.12.2014):
Neues Advisory

Betroffene Software:

Digium Asterisk <= 11.14.1 Digium Asterisk <= 12.7.1 Digium Asterisk <= 13.0.1 Digium Certified Asterisk <= 11.6-cert8 Betroffene Plattformen: Digium Asterisk Red Hat Fedora 20 Red Hat Fedora 21 Eine Schwachstelle in Asterisk ermöglicht einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff. Patch: Asterisk Project Security Advisory - AST-2014-019 http://downloads.asterisk.org/pub/security/AST-2014-019.pdf

Patch:

Fedora Security Update FEDORA-2015-5456

https://admin.fedoraproject.org/updates/FEDORA-2015-5456/asterisk-11.17.0-1.fc20

Patch:

Fedora Security Update FEDORA-2015-5468

https://admin.fedoraproject.org/updates/FEDORA-2015-5468/asterisk-11.17.0-1.fc21

CVE-2014-9374: Schwachstelle in re_http_websocket ermöglicht ein
Denial-of-Service-Angriff

Eine Schwachstelle im Modul re_http_websocket in Asterisk führt dazu, dass
die Größe des zur Verfügung gestellten Speichers, wie vorgesehen der Größe
der übergebenen Nutzdaten angepasst wird, allerdings auch wenn die Größe der
Nutzdaten Null ist. Der zugeordnete Speicher wird erfolgreich freigegeben,
allerdings wird die Operation als Fehler behandelt und die Sitzung beendet.
Dadurch wird der bereits freigegebene Speicher noch einmal freigegeben und
es kommt zu einem Systemabsturz.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1638/

Asterisk Project Security Advisory – AST-2014-019:
http://downloads.asterisk.org/pub/security/AST-2014-019.pdf

Schwachstelle CVE-2014-9374 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9374

Fedora Security Update FEDORA-2015-5456:
https://admin.fedoraproject.org/updates/FEDORA-2015-5456/asterisk-11.17.0-1.fc20

Fedora Security Update FEDORA-2015-5468:
https://admin.fedoraproject.org/updates/FEDORA-2015-5468/asterisk-11.17.0-1.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben