Skip to main content

Argitalpen data: 2022/03/07

Garrantzia:Kritikoa

Kaltetutako baliabideak:

  • Asterisk Open Source:
    • 16.x bertsioak;
    • 18.x bertsioak;
    • 19.x bertsioak.
  • Certified Asterisk: 16.x bertsioak.

Azalpena:

Asterisk-ek 3 ahultasun argitaratu ditu: 2 larritasun kritikokoak eta 1 ertainekoa. Horiek baliatuz erasotzaile batek kode arbitrarioa exekuta lezake edo zerbitzuaren ukapena eragin edo memoriara mugez kanpoko sarbidea lortu.

Konponbidea:

"with-pjproject-bundled" erabiltzen bada, ondoren adierazten den Asterisk-en bertsioetakoren batera eguneratzea edo instalatzea:

  • Asterisk Open Source:
    • 16.24.1;
    • 18.10.1;
    • 19.2.1.
  • Certified Asterisk:
    • 16.8-cert13.

Bestela, partxea daukan pjproject bertsio egokia instalatzea.

Xehetasuna:

  • Sartzen diren STUN mezuetako goiburuetako luzera, ERROR-CODE atributu bat dutenak, ez da modu egokian egiaztatzen. Ondorioz osokoen gainezkatze bat gerta liteke. Kontuan izan honetarako beharrezkoa dela ICE edo WebRTC-en zerbitzua erabiltzen egotea asmo gaiztoko urruneko parte batekin. Ahultasun horretarako CVE-2021-37706 identifikatzailea esleitu da.
  • UAC modura jokatzen denean eta kanporako dei bat egiten denean ondoren banatzen den xede batera, Asterisk-ek portaera zehaztugabe bat izan dezake (akatsak, esekitzeak, etabar) elkarrizketa multzo bat behar baino lehen askatu ondoren. Ahultasun horretarako CVE-2022-23608 identifikatzailea esleitu da.

Larritasun ertaineko ahultasunerako CVE-2022-21723 identifikatzailea erabili da.

Encuesta valoración

Etiketak:Eguneraketa, Komunikazioak, Ahultasuna

Partekatu

Linkedin partekatu