forum.opennet.ru - "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости" (15)

"В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"	+/–
Сообщение от opennews (??) on 20-Май-17, 11:31
В корректирующих выпусках коммуникационной платформы Asterisk 14.4.1 и 13.15.1 (http://www.asterisk.org/downloads/asterisk/all-asterisk-vers...) устранены (http://www.mail-archive.com/asterisk-announce@lists.dig...) три уязвимости, которым присвоен наивысший уровень опасности: - Переполнение буфера (http://downloads.asterisk.org/pub/security/AST-2017-002.html) в обработчике PJSIP, позволяет вызвать крах или потенциально выполнить код (возможность данного вида эксплуатации пока не подтверждена) через отправку неаутентифицированного SIP-пакета со специально изменёнными заголовками CSeq и Via. Проблеме не подвержены конфигурации Asterisk с chan_sip; - Ошибка (http://downloads.asterisk.org/pub/security/AST-2017-003.html) в парсере комбинированных (multi-part) запросов PJSIP позволяет осуществить чтение из области вне буфера и вызвать крах через удалённую отправку специально оформленных пакетов; - Ошибка (http://downloads.asterisk.org/pub/security/AST-2017-004.html) в канальном драйвере chan_skinny позволяет исчерпать всю доступную Asterisk память через отправку специально оформленного SCCP-пакета из-за зацикливания, если размер пакета больше размера заголовка, но меньше чем размер, указанный в заголовке. URL: http://www.mail-archive.com/asterisk-announce@lists.dig... Новость: https://www.opennet.ru/opennews/art.shtml?num=46573
Ответить \| Правка \| Cообщить модератору

Оглавление

В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости, Аноним, 11:31 , 20-Май-17, (1) +4

В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости, Аноним, 12:28 , 20-Май-17, (2) –2

В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости, Аноним, 12:36 , 20-Май-17, (3) +5
В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости, ram_scan, 11:07 , 21-Май-17, (8)

В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости, Аноним, 20:41 , 21-Май-17, (9)

В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости, ., 20:41 , 22-Май-17, (11)

В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости, Аноним, 09:01 , 23-Май-17, (13)

В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости, ram_scan, 16:22 , 23-Май-17, (14)

В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости, qwerty123, 13:31 , 26-Май-17, (16)
В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости, qwerty123, 13:41 , 26-Май-17, (17)

В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости, Turbid, 13:31 , 20-Май-17, (4) +1

В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости, Shodan, 00:32 , 21-Май-17, (5) +1

В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости, Аноним, 08:47 , 23-Май-17, (12)

В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости, qwerty123, 13:23 , 26-Май-17, (15)

В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости, Темная материя, 12:35 , 22-Май-17, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости" +4 +/–

Сообщение от Аноним (??) on 20-Май-17, 11:31

А в chan_sip до сих пор не исправили строки:
ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From"));
даже в ветке master: https://raw.githubusercontent.com/asterisk/asterisk/master/c...
Что дает возможность брутить пароль по SIP протоколу, а астериск будет в логах писать локальный хост астериска, а не ip кулхацкера. Соответственно при помощи f2ban злоумышленник банится не будет.
Разработчикам писалось неоднократно, чувствуется сотрудничество с палестинцами.
Теперь и в PJSIP косяки.
Спасибо, будем использовать Sofia-SIP и FreeSWITCH. Астериск может где-нибудь в бэкэнде, для приложений.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости" –2 +/–

Сообщение от Аноним (??) on 20-Май-17, 12:28

Удивительно, что ты готов отказаться от целого продукта из-за одной строки, которую сам же и в состоянии поправить.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости" +5 +/–

Сообщение от Аноним (??) on 20-Май-17, 12:36

Эта строка как бы говорит нам об отношении разработчиков к безопасности.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости" +/–

Сообщение от ram_scan on 21-Май-17, 11:07

> Удивительно, что ты готов отказаться от целого продукта из-за одной строки, которую сам же и в состоянии поправить.
От "целого продукта" стоило отказаться хотя-бы потому что написан он (во всяком случае был написан еще несколько лет назад) просто безобразно, одни дедлоки в чан_сип 10 лет лечили, плюнули, и в итоге новый костыль написали, в котором опять что ни бага то 10 из 10 баллов. Для того чтобы астериск вылечить от врожденного уродства, его проще было написать с нуля. И фрисвитч был написан одним из авторов звездочки.
Я ушел на FreeSwitch 10 лет назад. О чем ни разу не пожалел.
Поговаривают что под него запилена весьма вменяемая свободная вебморда, с го и гейшами, но я ей не пользуюсь.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости" +/–

Сообщение от Аноним (??) on 21-Май-17, 20:41

Где можно найти адекватную доку и примеры на FreeSwitch? Хотел перекатиться, не получилось.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости" +/–

Сообщение от . on 22-Май-17, 20:41

> Где можно найти адекватную доку и примеры на FreeSwitch?
вероятно, там же, где и на asterisk?
> Хотел перекатиться, не получилось.
тот чувак, который за тебя настраивал aster, не пожелал возиться?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости" +/–

Сообщение от Аноним (??) on 23-Май-17, 09:01

> Я ушел на FreeSwitch 10 лет назад. О чем ни разу не
> пожалел.
На локалхосте? Или что она там держит у вас десктопные телефоны и пару транков?
Просто я попытался хотя бы составить план перевода колцентра с 3 линиями операторов (10, 25 и 75 человек) интегрированный с CRM и почтой. И оказалось, что функционала маловато. mod_callcenter уступает архаичным очередям астериска (с учётом возможностей диалплана) во всём, кроме производительности.
На этом вашем фрисвище можно делать только узлы связи, которые еще пойди залицензируй в роскомнадзоре и россвязи, а отличии от того же аста. Офисную телефонию вместо настенного панасоника. И интерактивную звонилку для нужд какого-нибудь самописного приложения.
Расскажите об историях успеха внедрения фрисвищей в крупных колцентраз со звонками от 10000 в сутки и выше за эти ваши 10 лет. Хочу, так сказать, расширить кругозор.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости" +/–

Сообщение от ram_scan on 23-Май-17, 16:22

Рассказываю. Работало и не жужжало во время дизастеров на нагрузке в 200 cps. В коллцентре ситихоумнета, в ту пору пока его мтс не купило.
Расскажите историю успеха за то как вы в роскомнадзор узел связи на заезде сдавали. Я весь во внимании.
Кстати как там, на звезде голос в предответном состоянии сделали уже ? Мне реально интересно. Я на фрисвитче так обьявления абонентам зачитывал.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости" +/–

Сообщение от qwerty123 (??) on 26-Май-17, 13:31

> Рассказываю. Работало и не жужжало во время дизастеров на нагрузке в 200
при всем уважении ко всем разработчикам, по возможностям asterisk dialplan замены пока нет.
> Расскажите историю успеха за то как вы в роскомнадзор узел связи на
да нормально все, покупается нечто сертифицированное на N номеров, а за ним/рядом астериск на N*100 абонентов, и все счастливы
> Кстати как там, на звезде голос в предответном состоянии сделали уже?
на локальных телефонах background before answer играет себе музыку.
на остальном не проверял, другим занимаюсь

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости" +/–

Сообщение от qwerty123 (??) on 26-Май-17, 13:41

еще о freeswitch, глянул статус
freebsd: ONLY_FOR_ARCHS=amd64
то есть на ARM или MISP фиг вам, в отличие от астериск.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

4. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости" +1 +/–

Сообщение от Turbid (??) on 20-Май-17, 13:31

О, еще один из креокамеры.
Еще с 10 версии есть Asterisk Security Framework и fail2ban должен его и использовать:
https://wiki.asterisk.org/wiki/display/AST/Security+Log+File...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости" +1 +/–

Сообщение от Shodan (ok) on 21-Май-17, 00:32

Этот модный pjsip полное реш#ето. Если смотреть чейнджлоги астериска, то львиная доля патчинга приходится на него

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости" +/–

Сообщение от Аноним (??) on 23-Май-17, 08:47

Что вполне закономерно, ведь библиотека до факта внедрения представляла собой реализацию как бы "клиента", в смысле клиентской роли в топологии SIP, а астериск реализовал на ней как бы "сервер", в смысле back to back агент в топологии SIP причём в манере астериска.
Представляю, как бы софию бы порвало, если бы её попытались так внедрить в астериск.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости" +/–

Сообщение от qwerty123 (??) on 26-Май-17, 13:23

>клиентской роли в топологии SIP
RTFM SIP и не писать ерунду.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

10. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости" +/–

Сообщение от Темная материя on 22-Май-17, 12:35

Пишите сами на питоне ... будет вам счастье!!!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"	+4 +/–
Сообщение от Аноним (??) on 20-Май-17, 11:31
А в chan_sip до сих пор не исправили строки: ast_log(LOG_NOTICE, "Failed to authenticate device %s\n", sip_get_header(req, "From")); даже в ветке master: https://raw.githubusercontent.com/asterisk/asterisk/master/c... Что дает возможность брутить пароль по SIP протоколу, а астериск будет в логах писать локальный хост астериска, а не ip кулхацкера. Соответственно при помощи f2ban злоумышленник банится не будет. Разработчикам писалось неоднократно, чувствуется сотрудничество с палестинцами. Теперь и в PJSIP косяки. Спасибо, будем использовать Sofia-SIP и FreeSWITCH. Астериск может где-нибудь в бэкэнде, для приложений.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"	–2 +/–
	Сообщение от Аноним (??) on 20-Май-17, 12:28
	Удивительно, что ты готов отказаться от целого продукта из-за одной строки, которую сам же и в состоянии поправить.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"	+5 +/–
	Сообщение от Аноним (??) on 20-Май-17, 12:36
	Эта строка как бы говорит нам об отношении разработчиков к безопасности.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	8. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"	+/–
	Сообщение от ram_scan on 21-Май-17, 11:07
	> Удивительно, что ты готов отказаться от целого продукта из-за одной строки, которую сам же и в состоянии поправить. От "целого продукта" стоило отказаться хотя-бы потому что написан он (во всяком случае был написан еще несколько лет назад) просто безобразно, одни дедлоки в чан_сип 10 лет лечили, плюнули, и в итоге новый костыль написали, в котором опять что ни бага то 10 из 10 баллов. Для того чтобы астериск вылечить от врожденного уродства, его проще было написать с нуля. И фрисвитч был написан одним из авторов звездочки. Я ушел на FreeSwitch 10 лет назад. О чем ни разу не пожалел. Поговаривают что под него запилена весьма вменяемая свободная вебморда, с го и гейшами, но я ей не пользуюсь.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	9. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"	+/–
	Сообщение от Аноним (??) on 21-Май-17, 20:41
	Где можно найти адекватную доку и примеры на FreeSwitch? Хотел перекатиться, не получилось.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	11. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"	+/–
	Сообщение от . on 22-Май-17, 20:41
	> Где можно найти адекватную доку и примеры на FreeSwitch? вероятно, там же, где и на asterisk? > Хотел перекатиться, не получилось. тот чувак, который за тебя настраивал aster, не пожелал возиться?
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	13. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"	+/–
	Сообщение от Аноним (??) on 23-Май-17, 09:01
	> Я ушел на FreeSwitch 10 лет назад. О чем ни разу не > пожалел. На локалхосте? Или что она там держит у вас десктопные телефоны и пару транков? Просто я попытался хотя бы составить план перевода колцентра с 3 линиями операторов (10, 25 и 75 человек) интегрированный с CRM и почтой. И оказалось, что функционала маловато. mod_callcenter уступает архаичным очередям астериска (с учётом возможностей диалплана) во всём, кроме производительности. На этом вашем фрисвище можно делать только узлы связи, которые еще пойди залицензируй в роскомнадзоре и россвязи, а отличии от того же аста. Офисную телефонию вместо настенного панасоника. И интерактивную звонилку для нужд какого-нибудь самописного приложения. Расскажите об историях успеха внедрения фрисвищей в крупных колцентраз со звонками от 10000 в сутки и выше за эти ваши 10 лет. Хочу, так сказать, расширить кругозор.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	14. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"	+/–
	Сообщение от ram_scan on 23-Май-17, 16:22
	Рассказываю. Работало и не жужжало во время дизастеров на нагрузке в 200 cps. В коллцентре ситихоумнета, в ту пору пока его мтс не купило. Расскажите историю успеха за то как вы в роскомнадзор узел связи на заезде сдавали. Я весь во внимании. Кстати как там, на звезде голос в предответном состоянии сделали уже ? Мне реально интересно. Я на фрисвитче так обьявления абонентам зачитывал.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	16. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"	+/–
	Сообщение от qwerty123 (??) on 26-Май-17, 13:31
	> Рассказываю. Работало и не жужжало во время дизастеров на нагрузке в 200 при всем уважении ко всем разработчикам, по возможностям asterisk dialplan замены пока нет. > Расскажите историю успеха за то как вы в роскомнадзор узел связи на да нормально все, покупается нечто сертифицированное на N номеров, а за ним/рядом астериск на N*100 абонентов, и все счастливы > Кстати как там, на звезде голос в предответном состоянии сделали уже? на локальных телефонах background before answer играет себе музыку. на остальном не проверял, другим занимаюсь
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	17. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"	+/–
	Сообщение от qwerty123 (??) on 26-Май-17, 13:41
	еще о freeswitch, глянул статус freebsd: ONLY_FOR_ARCHS=amd64 то есть на ARM или MISP фиг вам, в отличие от астериск.
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	4. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"	+1 +/–
	Сообщение от Turbid (??) on 20-Май-17, 13:31
	О, еще один из креокамеры. Еще с 10 версии есть Asterisk Security Framework и fail2ban должен его и использовать: https://wiki.asterisk.org/wiki/display/AST/Security+Log+File...
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

5. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"	+1 +/–
Сообщение от Shodan (ok) on 21-Май-17, 00:32
Этот модный pjsip полное реш#ето. Если смотреть чейнджлоги астериска, то львиная доля патчинга приходится на него
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	12. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"	+/–
	Сообщение от Аноним (??) on 23-Май-17, 08:47
	Что вполне закономерно, ведь библиотека до факта внедрения представляла собой реализацию как бы "клиента", в смысле клиентской роли в топологии SIP, а астериск реализовал на ней как бы "сервер", в смысле back to back агент в топологии SIP причём в манере астериска. Представляю, как бы софию бы порвало, если бы её попытались так внедрить в астериск.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	15. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"	+/–
	Сообщение от qwerty123 (??) on 26-Май-17, 13:23
	>клиентской роли в топологии SIP RTFM SIP и не писать ерунду.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору

10. "В Asterisk 14.4.1 и 13.15.1 устранены опасные уязвимости"	+/–
Сообщение от Темная материя on 22-Май-17, 12:35
Пишите сами на питоне ... будет вам счастье!!!
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору