DailyAsterisk

La notizia e’ apparsa su Slashdot, dove rimando per l’articolo completo

Poco piu di 12ore fa sono state rilasciate due nuove versioni, la 1.2.23 e la 1.4.9, il sito di asterisk, in prima pagina non riporta nemmeno la news degli update, ma sono disponibili in download.

Dai Changelog, sembrano due update rivolti piu al fix di bug minori ed alla pulizia del codice sia per entrabe le versioni.

I cambiamenti piu importanti secondo me sono questi:

* [r76801] apps/app_queue.c: Added a membercount variable to call_queue
Aggiunta una variabile per capire quanti membri sono loggati in una particolare coda.

* [r76708] apps/app_voicemail.c: It was our stated intention for 1.4 that
Corretta la creazione dei file (umask) della voicemail.

* [r76227] channels/chan_sip.c: Merged revisions 76226 via svnmerge from
La memoria utilizzata per il localaddr non veniva liberata al reload della configurazione

* [r75928] channels/chan_iax2.c: Merged revisions 75927 via svnmerge from
Fix nell’invio dei VNAK

L’aggiornamento del ramo 1.2 presenta un sottoinsieme molto ristretto degli aggiornamenti fatti al 1.4, 10 contro 39. E’ interessante notare come i fix apportati chan_skinny per il ramo 1.4 non siano stati versati anche in quello 1.2.

In realta l’update e’ volto a correggere un altro bug di sicurezza di tipo Denial of Service, presente sul canale IAX2, se configurato per ricevere chiamate non autenticate.

L’attaccante puo’ inviare numerosi pacchetti NEW ad una estensione valida, asterisk alloca le risorse e senza piu liberarle. Maggiori dettagli nel pdf.

Download 1.2.23 e 1.4.9