08.08.2007 11:36
DoS-Lücke in TK-Anlagensoftware Asterisk beseitigt
Die Entwickler der Telefonanlagensoftware Asterisk haben ein Update veröffentlicht, das eine Denial-of-Service-Schwachstelle beseitigen soll. Beim Empfang manipulierter "CAPABILITIES_RES_MESSAGE"-Pakete stürzt der Skinny-Channel-Treiber (chan_skinny) ab. Ein Angreifer muss sich zuvor jedoch authentifiziert haben. Das Skinny-Client-Control-Protocol (SCCP) ist ein proprietärer Cisco-Standard für Telefonie und Konferenzen über IP-basierte Netze.
Betroffen sind Asterisk 1.4.x bis einschließlich 1.4.9, AsteriskNow vor der Version Beta 7, die Asterisk-Applicane vor der Version 1.0.3 sowie das Asterisk Appliance Developer Kit vor 0.7.0. Zudem ist die Version 1.2.24 erschienen, die den beschriebenen Fehler allerdings nicht enthält. Allerdings sind dort nicht sicherheitsrelevante Fehler beseitigt. Der Zweig 1.2 soll ab sofort aber nur noch mit Security-Fixes bedacht werden. Eine Weiterentwicklung soll es nicht geben.
Siehe dazu auch:
- Remote crash vulnerability in Skinny channel driver, Fehlerbericht von Digium
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
