Объявлено о выходе релизов Asterisk 1.2.18 (http://www.asterisk.org/node/48348) и 1.4.3 (http://www.asterisk.org/node/48349), а также пакетов Asterisk-Addons 1.2.6 (http://www.asterisk.org/node/48344), 1.4.1 (http://www.asterisk.org/node/48344) и Zaptel 1.2.17.1 (http://www.asterisk.org/node/48346), 1.4.2.1 (http://www.asterisk.org/node/48346).

Выход обновлений связан с обнаружением двух новых уязвимостей (http://secunia.com/advisories/24977/):

-  Возможность DoS атаки (http://www.securityfocus.com/bid/23093) (крах процесса, но теоретически не исключается возможность удаленного запуска кода злоумышленника) через отправку модифицированного SIP пакета, из-за ошибок в T.38 SDP парсере SIP channel драйвера. Уязвимости подвержены конфигурации с включенной опцией "t38_udptl".

- Вызов удаленного отказа в обслуживании (http://www.securityfocus.com/bid/23649) сервиса Remote Management Interface.

URL: http://secunia.com/advisories/24977/
Новость: http://www.opennet.me/opennews/art.shtml?num=10612

• Asterisk 1.2.18 и1.4.3 - исправление ошибок безопасности,Charlie Root, 17:19 , 26-Апр-07
• Asterisk 1.2.18 и1.4.3 - исправление ошибок безопасности,chocholl, 17:22 , 26-Апр-07
• Asterisk 1.2.18 и1.4.3 - исправление ошибок безопасности,Alter, 18:03 , 26-Апр-07
  • Asterisk 1.2.18 и1.4.3 - исправление ошибок безопасности,fa, 00:48 , 27-Апр-07
• Asterisk 1.2.18 и1.4.3 - исправление ошибок безопасности,guest, 23:24 , 29-Апр-07

я только не понял, где в 1.2.x поддержка T.38 (и соответственно, t38_udptl).

патч вроде для этого был.

Ррр... Решето, блин!

угу. 1.4 еще сырой. все релизы, что были пока - только дыры и латают

интересно, а полностью свободный форк этого дела (без привязки к каким-либо железкам)
http://callweaver.org/blog (бывший openpbx.org)
тоже подвержен или нет?