Уязвимость интерфейса AMI (Asterisk Managment Interface) систем управления IP-телефонией Asterisk и Certified Asterisk связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение произвольных файлов с помощью команды GetConfig
Использование рекомендаций:
https://github.com/asterisk/asterisk/releases
https://github.com/asterisk/asterisk/blob/master/main/manager.c#L3757
https://github.com/asterisk/asterisk/security/advisories/GHSA-8857-hfmw-vg8f
https://github.com/asterisk/asterisk/commit/424be345639d75c6cb7d0bd2da5f0f407dbd0bd5
Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения asterisk до версии 1:18.14.0~dfsg+~cs6.12.40431414-1really16.28.0~dfsg-0+deb10u4
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
| Балл | 6.1 — средняя опасность |