Telefonie-Software Asterisk absturzgefährdet

Clemens · 5 Mrz 2007

Die Entwickler der Open-Source-Telefonie-Software Asterisk haben mit den Versionen 1.2.16 und 1.4.1 eine Schwachstelle geschlossen [...]

Quelle und mehr Infos: http://www.heise.de/newsticker/meldung/86204

Meldung der Asterisk-Entwickler:

Asterisk 1.4.1 Released
Asterisk 1.2.16 Released

---edit

So, habe erfolgreich auf die 1.2.16 gewechselt - hatte noch die 1.2.13

Netview · 5 Mrz 2007

Digium ist ein wenig zurückhaltend was das Problem angeht!

Näheres steht hier:

http://www.nabble.com/Asterisk-security-update-1.2.16-t3338048.html

HobbyStern · 12 Mrz 2007

Na Prost, ist jemanden ggf. bekannt seit wann dieses Phänomen besteht, s.h. ob ggf. ältere Versionen noch immun sind ?

Grüsse, Stefan

Netview · 12 Mrz 2007

Das wird scheinbar alles unter den Tisch gekehrt (ich denke es sind alle 1.2.x und 1.4.x Versionen betroffen)!

http://bugs.digium.com/view.php?id=9203

HobbyStern · 12 Mrz 2007

Das ist aber der richtige Beitrag im Mantis - ich denke keiner von uns hat Lust wegen 12k Patchzeilen den gesamten Asterisk neu zu kompilieren.

Grüsse, Stefan

Netview · 12 Mrz 2007

Ich denke die Schwachstellen "öffentlich" zu machen bedeutet auch zum Missbrauch einzuladen.

Microsoft hat ja damit in der Vergangenheit schon seine lieben "Erfahrungen" sammeln dürfen!

Und zum anderen will man sich natürlich diese Blöße nicht geben, dass asterisk irgendwo verwundbar ist ;-)

foschi · 12 Mrz 2007

Netview schrieb:
Ich denke die Schwachstellen "öffentlich" zu machen bedeutet auch zum Missbrauch einzuladen.

Das widerspricht jedoch dem OpenSource-Gedanken "release early, release often"; aber mit OpenSource ist es bei Digium je eh nicht mehr weit her.

Netview schrieb:
Microsoft hat ja damit in der Vergangenheit schon seine lieben "Erfahrungen" sammeln dürfen!

Genau: die Erfahrung, daß security by obscurity keine Sicherheit ist.

Netview schrieb:
Und zum anderen will man sich natürlich diese Blöße nicht geben, dass asterisk irgendwo verwundbar ist ;-)

Kann ich nicht nachvollziehen. Patch veröffentlichen, Lücke schließen, gut ist.

tomster · 12 Mrz 2007

Puhh, schaut ja Mal wieder prima aus. Wenn ich die ganzen Links richtig versteh, dann ist hauptsächlich die chan_sip.c betroffen. Und gerade da wurschtelt ja der Pick-up-Patch von mgernoth drin rum. Und der patch mosert mich an, dass 2 hunks ned hinhauen...

Code:

patching file channels/chan_sip.c
Hunk #1 FAILED at 930.
Hunk #2 succeeded at 1945 (offset 5 lines).
Hunk #4 succeeded at 5181 (offset 102 lines).
Hunk #6 succeeded at 6891 (offset 108 lines).
Hunk #8 succeeded at 6992 (offset 107 lines).
Hunk #10 succeeded at 7043 (offset 107 lines).
Hunk #12 succeeded at 8912 (offset 109 lines).
Hunk #14 succeeded at 10552 (offset 131 lines).
Hunk #16 succeeded at 10641 (offset 131 lines).
Hunk #17 FAILED at 10755.
Hunk #18 succeeded at 10639 (offset -12 lines).
Hunk #19 succeeded at 11523 (offset 135 lines).
2 out of 19 hunks FAILED -- saving rejects to file channels/chan_sip.c.rej

Da ist jetzt guter Rat teuer. Das Risiko gehen, dass jemand meine Mühle zum Absturz bringt, oder den halb-gepatchen * als Live-System starten und ggfls. Gemoser von den Usern bekommen...

HobbyStern · 12 Mrz 2007

@tomster

Na Du - siehste - genau in diesem PickupPatch lag auch mein Grund drin diesen "eiligsten UpdateHammer" etwas kritisch zu betrachten....

Oder man bemüht (mal wieder) mgernoth um eine Lösung....

Grüsse, Stefan

Languages

Suche

Languages

Suche

Telefonie-Software Asterisk absturzgefährdet

Clemens

Aktives Mitglied

Netview

IPPF-Promi

HobbyStern

Aktives Mitglied

Netview

IPPF-Promi

HobbyStern

Aktives Mitglied

Netview

IPPF-Promi

foschi

Guest

tomster

Mitglied

HobbyStern

Aktives Mitglied

Zurzeit aktive Besucher

Neueste Beiträge

Statistik des Forums