BDU:2023-08871
АО "НППКТ", Digium, Inc., ООО «Ред Софт» Certified Asterisk, Asterisk, РЕД ОС, ОСОН ОСнова Оnyx
2023-12-14
Уязвимость интерфейса AMI (Asterisk Managment Interface) систем управления IP-телефонией Asterisk и Certified Asterisk связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение произвольных файлов с помощью команды GetConfig
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: https://github.com/asterisk/asterisk/releases https://github.com/asterisk/asterisk/blob/master/main/manager.c#L3757 https://github.com/asterisk/asterisk/security/advisories/GHSA-8857-hfmw-vg8f https://github.com/asterisk/asterisk/commit/424be345639d75c6cb7d0bd2da5f0f407dbd0bd5
Для ОСОН ОСнова Оnyx (версия 2.10): Обновление программного обеспечения asterisk до версии 1:18.14.0~dfsg+~cs6.12.40431414-1really16.28.0~dfsg-0+deb10u4
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/