フリーソフトウェアの PBX・回線ツールキットである Asterisk に、 いくつかのリモートからの攻撃に対する脆弱性が見付かりました。 The Common Vulnerabilities and Exposures project は以下の問題を 特定しました。
Tilghman Lesher は、データベースを用いた登録の検証が不十分である ことを発見しました。これが影響するのは、パスワードを用いず、ホスト ベースの認証だけで利用しているような設定に限られます。
Jason Parker は SIP チャネルドライバの内部における From: ヘッダ の検証が不十分であり、これによって認証の迂回や、外部からの呼出し 開始が可能となりうることを発見しました。
このアップデートでは、フォーマット文字列の脆弱性も修正してあります。 これはローカルの管理者が維持している設定ファイルによってのみ問題が 生じうるものです。これ以降の Asterisk のリリースでは、この問題は リモートから攻撃可能となっており、 CVE-2008-1333 として登録されています。
旧安定版 (Sarge) の状況は現在調査中です。もし問題があれば、アップデート は security.debian.org を通じてリリースされる予定です。
安定版 (stable) ディストリビューション (etch) では、これらの問題は バージョン 1:1.2.13~dfsg-2etch3 で修正されています。
直ぐに asterisk パッケージをアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。