The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости

20.05.2017 09:56

В корректирующих выпусках коммуникационной платформы Asterisk 14.4.1 и 13.15.1 устранены три уязвимости, которым присвоен наивысший уровень опасности:

  • Переполнение буфера в обработчике PJSIP, позволяет вызвать крах или потенциально выполнить код (возможность данного вида эксплуатации пока не подтверждена) через отправку неаутентифицированного SIP-пакета со специально изменёнными заголовками CSeq и Via. Проблеме не подвержены конфигурации Asterisk с chan_sip;
  • Ошибка в парсере комбинированных (multi-part) запросов PJSIP позволяет осуществить чтение из области вне буфера и вызвать крах через удалённую отправку специально оформленных пакетов;
  • Ошибка в канальном драйвере chan_skinny позволяет исчерпать всю доступную Asterisk память через отправку специально оформленного SCCP-пакета из-за зацикливания, если размер пакета больше размера заголовка, но меньше чем размер, указанный в заголовке.


  1. Главная ссылка к новости (http://www.mail-archive.com/as...)
  2. OpenNews: Обновление Asterisk 13.14.1 и 14.3.1 с устранением удалённой уязвимости
  3. OpenNews: Релиз коммуникационной платформы Asterisk 14
  4. OpenNews: Релиз коммуникационной платформы Asterisk 13
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46573-asterisk
Ключевые слова: asterisk, voip
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:31, 20/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    А в chan_sip до сих пор не исправили строки:
    ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));

    даже в ветке master: https://raw.githubusercontent.com/asterisk/asterisk/master/channels/chan_sip.c

    Что дает возможность брутить пароль по  SIP протоколу, а астериск будет в логах писать локальный хост астериска, а не ip кулхацкера. Соответственно  при помощи f2ban злоумышленник банится не будет.
    Разработчикам писалось неоднократно, чувствуется сотрудничество с палестинцами.
    Теперь и в PJSIP косяки.
    Спасибо, будем использовать Sofia-SIP и FreeSWITCH. Астериск может где-нибудь в бэкэнде, для приложений.

     
     
  • 2.2, Аноним (-), 12:28, 20/05/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Удивительно, что ты готов отказаться от целого продукта из-за одной строки, которую сам же и в состоянии поправить.
     
     
  • 3.3, Аноним (-), 12:36, 20/05/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Эта строка как бы говорит нам об отношении разработчиков к безопасности.
     
  • 3.8, ram_scan (?), 11:07, 21/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Удивительно, что ты готов отказаться от целого продукта из-за одной строки, которую сам же и в состоянии поправить.

    От "целого продукта" стоило отказаться хотя-бы потому что написан он (во всяком случае был написан еще несколько лет назад) просто безобразно, одни дедлоки в чан_сип 10 лет лечили, плюнули, и в итоге новый костыль написали, в котором опять что ни бага то 10 из 10 баллов. Для того чтобы астериск вылечить от врожденного уродства, его проще было написать с нуля. И фрисвитч был написан одним из авторов звездочки.

    Я ушел на FreeSwitch 10 лет назад. О чем ни разу не пожалел.

    Поговаривают что под него запилена весьма вменяемая свободная вебморда, с го и гейшами, но я ей не пользуюсь.

     
     
  • 4.9, Аноним (-), 20:41, 21/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Где можно найти адекватную доку и примеры на FreeSwitch? Хотел перекатиться, не получилось.
     
     
  • 5.11, . (?), 20:41, 22/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Где можно найти адекватную доку и примеры на FreeSwitch?

    вероятно, там же, где и на asterisk?

    > Хотел перекатиться, не получилось.

    тот чувак, который за тебя настраивал aster, не пожелал возиться?


     
  • 4.13, Аноним (-), 09:01, 23/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Я ушел на FreeSwitch 10 лет назад. О чем ни разу не
    > пожалел.

    На локалхосте? Или что она там держит у вас десктопные телефоны и пару транков?
    Просто я попытался хотя бы составить план перевода колцентра с 3 линиями операторов (10, 25 и 75 человек) интегрированный с CRM и почтой. И оказалось, что функционала маловато. mod_callcenter уступает архаичным очередям астериска (с учётом возможностей диалплана) во всём, кроме производительности.

    На этом вашем фрисвище можно делать только узлы связи, которые еще пойди залицензируй в роскомнадзоре и россвязи, а отличии от того же аста. Офисную телефонию вместо настенного панасоника. И интерактивную звонилку для нужд какого-нибудь самописного приложения.

    Расскажите об историях успеха внедрения фрисвищей в крупных колцентраз со звонками от 10000 в сутки и выше за эти ваши 10 лет. Хочу, так сказать, расширить кругозор.

     
     
  • 5.14, ram_scan (?), 16:22, 23/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Рассказываю. Работало и не жужжало во время дизастеров на нагрузке в 200 cps. В коллцентре ситихоумнета, в ту пору пока его мтс не купило.

    Расскажите историю успеха за то как вы в роскомнадзор узел связи на заезде сдавали. Я весь во внимании.

    Кстати как там, на звезде голос в предответном состоянии сделали уже ? Мне реально интересно. Я на фрисвитче так обьявления абонентам зачитывал.

     
     
  • 6.16, qwerty123 (??), 13:31, 26/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Рассказываю. Работало и не жужжало во время дизастеров на нагрузке в 200

    при всем уважении ко всем разработчикам, по возможностям asterisk dialplan замены пока нет.

    > Расскажите историю успеха за то как вы в роскомнадзор узел связи на

    да нормально все, покупается нечто сертифицированное на N номеров, а за ним/рядом астериск на N*100 абонентов, и все счастливы

    > Кстати как там, на звезде голос в предответном состоянии сделали уже?

    на локальных телефонах background before answer играет себе музыку.
    на остальном не проверял, другим занимаюсь

     
  • 6.17, qwerty123 (??), 13:41, 26/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    еще о freeswitch, глянул статус

    freebsd: ONLY_FOR_ARCHS=amd64

    то есть на ARM или MISP фиг вам, в отличие от астериск.

     
  • 2.4, Turbid (??), 13:31, 20/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    О, еще один из креокамеры.

    Еще с 10 версии есть Asterisk Security Framework и fail2ban должен его и использовать:
    https://wiki.asterisk.org/wiki/display/AST/Security+Log+File+Format

     

  • 1.5, Shodan (ok), 00:32, 21/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Этот модный pjsip полное реш#ето. Если смотреть чейнджлоги астериска, то львиная доля патчинга приходится на него
     
     
  • 2.12, Аноним (-), 08:47, 23/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Что вполне закономерно, ведь библиотека до факта внедрения представляла собой реализацию как бы "клиента", в смысле клиентской роли в топологии SIP, а астериск реализовал на ней как бы "сервер", в смысле back to back агент в топологии SIP причём в манере астериска.
    Представляю, как бы софию бы порвало, если бы её попытались так внедрить в астериск.
     
     
  • 3.15, qwerty123 (??), 13:23, 26/05/2017 [^] [^^] [^^^] [ответить]  
  • +/

    >клиентской роли в топологии SIP

    RTFM SIP и не писать ерунду.

     

  • 1.10, Темная материя (?), 12:35, 22/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пишите сами на питоне ... будет вам счастье!!!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру