форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Несколько удаленных уязвимостей в Asterisk PBX"

Сообщение от opennews on 27-Авг-06, 15:43

Вышла (http://www.asterisk.org/node/101) новая версия Asterisk (http://www.asterisk.org) 1.2.11, в которой устранено переполнение буфера в коде MGCP (http://labs.musecurity.com/advisories/MU-200608-01.txt) и ошибка форматирования строки (format-string) при передаче аргумента в Record(). Данные уязвимости позволяют удаленному злоумышленнику выполнить свой код на сервере. Также выпущены обновленные версии пакетов Asterisk-Addons 1.2.4 и Zaptel 1.2.8. URL: http://www.asterisk.org/node/101 Новость: http://www.opennet.me/opennews/art.shtml?num=8222

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "Несколько удаленных уязвимостей в Asterisk PBX"

Сообщение от Денис Смирнов on 27-Авг-06, 15:43

Все куда интереснее. mgcp мало кто использует, поэтому эта ошибка в большинстве случаев просто не применима. А вот с app_record интереснее, там все хуже чем казалось на самом деле. Оказалось что в этом коде есть _ещё одна_ ошибка, и это уязвимость форматной строки, что, теоретически может быть использовано и для исполнения кода, а не только простой записи в произвольный файл. http://subscribe.ru/archive/comp.soft.others.asterisk/200608/27142639.html Digium пока не реагирует. Ну и, я надеюсь, никто не запускает Asterisk от рута? ;)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]