AST-2009-003 утечка информации о пользователях в SIP

Skip to end of metadata
Go to start of metadata


Вчера вечером появилась информация об устранении очередной проблемы, связанной с безопасностью, в Asterisk. Уязвимостью назвать будет неправильно, так как исправление носит характер усовершенствования к мерам, принятым в 2006 году.

Проблема касается работы системы при включенной опции “alwasauthreject”, которая вызывает отправку ответа 401 на запросы, относящиеся к несуществующим пользователям. Проблема в том, что данное решение не полностью воссоздавало поведение системы при обращении реального пользователя с неверным паролем. Кроме того стоит отметить, что данная опция вызывает прямое нарушение RFC3261.

Одной строкой:

  • Незадолго до выхода сегодняшней исправленной версии были объявлены новые версии Asterisk  1.6.0.7 и Asterisk Addons  1.6.2.0-beta1
  • Были обновлены наборы звуков и  выложены новые версии для загрузки: Asterisk Core Sounds 1.4.15, Extra Sounds 1.4.9 и Freeplay MoH. Для обработки звуков были применены новые фильтры, что позволило сделать звук более чистым и сильно сократить количество низкочастотных помех. Особенно сильно это отразилось на файлах с использованием кодеков GSM и G.729
Enter labels to add to this page:
Please wait 
Looking for a label? Just start typing.