Обратились ко мне с интересным вопросом — продемонстрировать возможность вызвать падение удаленного Asterisk отправкой RTP пакета определенного вида. Я люблю интересные вопросы, поэтому потратил некоторое время для изысканий, в которых самым интересным было — найти возможность модифицировать один из пакетов в libpcap дампе. Отправить RTP пакеты в сеть с помощью sipp уже задача простая и описанная.
Команда разработчиков проекта Asterisk сообщила о выпуске новых версий проекта: 1.2.40, 1.4.29.1, 1.6.0.24, 1.6.1.16 и 1.6.2.4. Данный выпуск обусловлен появлением информации о возможности инъекции произвольного содержимого в диалплан. Новые версии практически не содержат никаких исправлении в исходном коде (кроме версии 1.2.40), добавлен лишь документ, описывающий область, на которую должен обратить особое внимание, разработчик, создающий диалплан.
Сегодня увидел свет Asterisk версии 1.4.24, исходные тексты незамедлительно доступны для загрузки. Помимо всех прочих исправлений отдельно стоит отметить ряд серьезных проблем, обнаруженных в выпущенной ранее 1.4.23 и исправленных сейчас: несколько проблем с падением, проблемы с подбором и парковкой вызовов. Так же исправлены проблемы в iax2 канале и внесённая проблема с 'h' экстенженом. К данному релизу из отечественных разработчиков «приложил руки» ys.
- Загрузка: 1.4.24
- Список изменений: структурированный, полный
Одной строкой:
- Ранее была исправлена уязвимость AST-2009-002, которая позволяла удаленно вызвать падение и отказ в обслуживании абонентов, в том случае если использовался SIP и была включена опция pedantic=yes. Ошибка присутствует во всех версиях Астериска ветки 1.6 до 1.6.0.6 и в 1.4.22, 1.4.23 и 1.4.23.1
- В код Астериска включена поддержка MFC/R2 посредством библиотеки LibOpenR2, написанной специально для этого. Теперь Астериск должен получить больше возможностей при применении в Южной Америке и Азии.
Под катом некоторые другие исправленные проблемы в 1.4.24
Не успело вчерашнее объявление о выходе новых версий Астериска «остыть», уже доступны внеочередные версии. Вчера было объявлено о найденной проблеме, внесенной при исправлении AST-2009-001. Версии 1.2.31.1, 1.4.22.2, 1.4.23.1 и 1.6.0.5 незамедлительно были подготовлены и выложены на http://downloads.digium.com/
После выхода исправлений для уязвимости AST-2009-001в версиях 1.2.31, 1.4.22.1 и 1.6.0.3 и их тестирования были обнаружены проблемы в способе исправления. Сейчас они исправлены. Кроме того выпущенная накануне версия 1.6.0.4-rc1 удалена и вскоре появится 1.6.0.5-rc1. Это сделано чтобы не допустить появления 5ти значных номеров версий.
