Множественные уязвимости в Asterisk

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании или выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за ошибки проверки границ данных в реализации Asterisk STUN. Удаленный пользователь может с помощью специально сформированных RTP пакетов аварийно завершить работу приложения. Для удачной эксплуатации уязвимости должны быть включены chan_sip, chan_gtalk, chan_jingle, chan_h323, chan_mgcp или chan_skinny.

2. Уязвимость существует из-за ошибки проверки границ данных в драйвере канала Asterisk Skinny (chan_skinny). Удаленный пользователь может с помощью специально сформированных пакетов, содержащих в поле size данные о меньшем размере пакета чем его реальный размер, аварийно завершить работу приложения. Для успешной эксплуатации уязвимости chan_skinny должен быть включен.

3. Ошибка разыменования нулевого указателя обнаружена в драйвер канала Asterisk IAX2 (chan_iax2). Удаленный пользователь может с помощью специально сформированных LGRQ и LAGRP фреймов вызвать отказ в обслуживании приложения. Для успешной эксплуатации уязвимости должен быть включен chan_iax.

4. Уязвимость существует из-за ошибки проверки границ данных в драйвере канала Asterisk IAX2 (chan_iax2) при обработке RTP фреймов. Удаленный пользователь может послать слишком большой пейлоад (более 4096 байт) в голосовых или видео фреймах, вызвать переполнение стека и выполнить произвольный код на целевой системе.

URL производителя: www.asterisk.org

Решение: Установите последнюю версию с сайта производителя.