Luki bezpieczeństwa w Asteriskach 1.8.11, 1.8 i 10

Wykryto dwie luki w bezpieczeństwie Asteriska w wersjach 1.8.11, 1.8 i 10. Pierwsza z nich (AST-2012-012) pozwala uzyskać dostęp do shell-a użytkownika, z którego uruchomiony jest Asterisk poprzez AMI (Asterisk Manager Interface). Dzięki czemu zdalni użytkownicy managera mogą wykonywać komendy powłoki.
Druga luka pozwala na omijanie reguł ACL przy połączeniach nawiązywanych przez RealTime-owego peer’a IAX2 – zdefiniowanego w ARA (Asterisk Realtime Architecture).
Więcej informacji w dokumentach:

• http://downloads.asterisk.org/pub/security/AST-2012-012.pdf
• http://downloads.asterisk.org/pub/security/AST-2012-013.pdf

Nowe wersje Asterisk-a do poprania z http://downloads.asterisk.org/pub/telephony/asterisk/releases