Команда разработчиков проекта Астериск анонсировала выпуск следующих версий проекта в связи с раскрытыми проблемами с безопасностью: 1.6.0.22, 1.6.1.14 и 1.6.2.2
Исходные коды данных версий проекта незамедлительно доступны для загрузки с
http://downloads.asterisk.org/pub/telephony/asterisk/
Версии Asterisk 1.6.0.22, 1.6.1.14 и 1.6.2.2 включают в себя исправление проблемы в использовании T.38 в SIP, описанной в бюллетене безопасности AST-2010-001.
Проблема заключается в том, что удаленный злоумышленник при согласовании параметров T.38 сессии через SIP может вызвать удаленно крах Asterisk модифицировав поле FaxMaxDatagram в SDP, чтобы оно содержало отрицательное либо слишком большое значение. Так же крах будет наблюдаться, если данное поле пропущено в SDP.
Единственным исправлением в данной версии является устранение данной проблемы. Для получения более подробной информации рекомендуется прочесть бюллетень безопасности AST-2010-001 (txt, html, pdf), выпущенный одновременно.
http://downloads.asterisk.org/pub/security/AST-2010-001.pdf
Благодарность всем пользователям и разработчикам за их интерес к проекту и поддержку!
