Сегодня появились новые версии во всех ветках проекта Asterisk. Столь масштабное действие связано с обнаружением сразу трёх уязвимостей, позволяющих нарушить работу телефонной системы. Очень рекомендую всем обновиться, так как характер уязвимостей таков, что им подвержены практически все установленные системы. Краткое описание белютеней безопасности ниже.
AST-2008-002 связан с обнаружением двух переполнений буфера при обработки типа нагрузки в RTP пакетах. Уязвимости подвержены все системы версий 1.4 и выше использующие SIP протокол. В исходном сообщении не указано, но возможно подвержены уязвимости и другие протоколы, использующие RTP стек Asterisk. Подробности >>
AST-2008-003 описывает уязвимость, которая позволяет атакующему обойти аутентификацию и совершить звонок в контекст, указанный в секции general sip.conf. Уязвимости подвержены все пользователи SIP версий 1.0, 1.2, 1.4 или 1.6. Подробности >>
AST-2008-003 — уязвимость связанная с форматированием строк в коде ast_verbose и Asterisk manager interface (AMI). Уязвимсть затрагивает только пользователей версии 1.6. Подробнее >>
