Argitalpen data: 2022/03/07
Garrantzia:Kritikoa
Kaltetutako baliabideak:
- Asterisk Open Source:
- 16.x bertsioak;
- 18.x bertsioak;
- 19.x bertsioak.
- Certified Asterisk: 16.x bertsioak.
Azalpena:
Asterisk-ek 3 ahultasun argitaratu ditu: 2 larritasun kritikokoak eta 1 ertainekoa. Horiek baliatuz erasotzaile batek kode arbitrarioa exekuta lezake edo zerbitzuaren ukapena eragin edo memoriara mugez kanpoko sarbidea lortu.
Konponbidea:
"with-pjproject-bundled" erabiltzen bada, ondoren adierazten den Asterisk-en bertsioetakoren batera eguneratzea edo instalatzea:
- Asterisk Open Source:
- 16.24.1;
- 18.10.1;
- 19.2.1.
- Certified Asterisk:
- 16.8-cert13.
Bestela, partxea daukan pjproject bertsio egokia instalatzea.
Xehetasuna:
- Sartzen diren STUN mezuetako goiburuetako luzera, ERROR-CODE atributu bat dutenak, ez da modu egokian egiaztatzen. Ondorioz osokoen gainezkatze bat gerta liteke. Kontuan izan honetarako beharrezkoa dela ICE edo WebRTC-en zerbitzua erabiltzen egotea asmo gaiztoko urruneko parte batekin. Ahultasun horretarako CVE-2021-37706 identifikatzailea esleitu da.
- UAC modura jokatzen denean eta kanporako dei bat egiten denean ondoren banatzen den xede batera, Asterisk-ek portaera zehaztugabe bat izan dezake (akatsak, esekitzeak, etabar) elkarrizketa multzo bat behar baino lehen askatu ondoren. Ahultasun horretarako CVE-2022-23608 identifikatzailea esleitu da.
Larritasun ertaineko ahultasunerako CVE-2022-21723 identifikatzailea erabili da.
Etiketak:Eguneraketa, Komunikazioak, Ahultasuna