LINUX.ORG.RU

Asterisk: AST-2009-002

 , , , ,


0

0

В Asterisk найдена новая уязвимость. Источником опасности, на этот раз, оказался модуль chan_sip. Ошибка содержалась в алгоритме сравнения SIP URI. Данный алгоритм используется в случае, если у вас включен "педантичный" режим (pedantic=yes) - для обработки спиралей. Суть ошибки заключается в том, что, получив подготовленный специальным образом INVITE (без заголовков), Asterisk аварийно завершается.

>>> Подробности



Проверено: Shaman007 ()

> включён педантичный режим (pedantic=yes) - для обработки спиралей

не пользуйтесь онлайн промтом, ато уж больно напоминает дословный перевод статьи о bgp и чешском провайдере, там где про перегрузку модемов.

chocholl ★★
()
Ответ на: комментарий от chocholl

ты бы предложил правильный, по твоему мнению, вариант перевода, а то уж больно напоминает пустозвонство.

sergee
() автор топика
Ответ на: комментарий от Shaman007

A spiral is a SIP request that is routed to a proxy, forwarded onwards, and arrives once again at that proxy

Shaman007 ★★★★★
()

Забавно. Вчера как раз сдал заказчику астериск и получил деньги. Очень своевременная новость.

KblCb ★★★★★
()
Ответ на: комментарий от Shaman007

Да термин. Спираль можно считать разновидностью петли (loop). Только я не понимаю в чём притензии к тексту (кстати это не перевод, а мой собственный текст).

Может товарищу не понравились предлоги? у них там проблемы с в/на :)) Как правильно то будет?

"...Источником опасности, в этот раз..."

"...Данный алгоритм используется на случае..."

"...Суть ошибки заключается на том..."

chocholl, так правильно? :))

sergee
() автор топика

Уязвимость-то месяц назад исправлена.

keir ★★
()

Кто что посоветует в качестве полноценной станции для ip телефонии?

Интересует полнофункциональное решение, с перспективой наращивания функционала. Для начала это обеспечение ip-телефонии на своем домене, конференции, видео звонки, холд, переадресация.

Ну и дальше автоответчик, возможно, шлюз в скайп, шлюз в обычную телефонную линию, интеграция с джаббером, google-talk итд.

Собственно, ответ астериск, а что еще может быть стол же мощное, но без такого геморроя с конфигурированием?

AVL2 ★★★★★
()
Ответ на: комментарий от ei-grad

> Не смотря на то, что бюллетень вышел только сегодня, ошибки были обнаружены и исправлены - 6го февраля - более месяца назад. На сегодня, все ветки SVN содержат исправленный код.

по линкам неплохо ходить, однако

p0six
()

Зачем эта новость на главной.

fa
()
Ответ на: комментарий от AVL2

>Собственно, ответ астериск, а что еще может быть стол же мощное, но без такого геморроя с конфигурированием?

У него геморрой не в конфигурирование, а к сожелению в ДНК.

I3rain
()
Ответ на: комментарий от AVL2

Недавно товарищ рассказал про freeswitch. Если верить описаниям, возможностей не намного меньше, чем у астериска, а грамотная архитектура позволяет разработчикам добавлять новые фичи, не ломая старые. Но я пока не ставил, так что сказать ничего не могу. Пока что единственный обнаруженный минус - конфиг в xml :)

Laz ★★★★★
()
Ответ на: комментарий от sergee

>"...Источником опасности, в этот раз..."

в этот раз

>"...Данный алгоритм используется на случае..."

В случае...

"...Суть ошибки заключается на том..."

В том...

angel_il ★★★★
()
Ответ на: комментарий от AVL2

можно посмотреть на клоны (форки) астериска - CallWeaver (бывший OpenPBX.org), FreeSwitch кроме того - SipX, Yate, Bayonne - может ещё что... но у них значительно меньшая база пользователей, со всеми вытекающими недостатками.

Любители потрындеть про архитектуру и днк, как правило, в глаза её не видели и не представляют о чём пишут. Архитектура у астериска нормальная. Вот человеческий фактор - проблемный да, но от него никуда и нигде не скрыться.

sergee
() автор топика
Ответ на: комментарий от Laz

Тут автор рассуждает о различиях между softswitch и asterisk

По моему, не очень убедительно.

http://www.freeswitch.org/node/117

Да и есть ли для freeswitch что-либо, похожее на freepbx?

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

> Ну так, собственно, а что в качестве альтернативы?

sipX. когда станет мало нарастите функционал на выделенном app server'е.

Alter ★★
()
Ответ на: комментарий от sergee

> Архитектура у астериска нормальная.

Серьезно ? А то я вот всё больше и больше слышу, что оно brain damaged..

Alter ★★
()
Ответ на: комментарий от Alter

Ну на такой суровый аргумент мне нечего ответить. где слышишь то? поди на рынке овощном? или на заборе черканул кто? :)) Какие есть реальные претензии? или только "слышу"? :)

Астериск не идеал, да у Астериска есть свои недостатки, но это лучшее из того что доступно с открытым кодом. Когда я говорил "Любители потрындеть про архитектуру и днк, как правило, в глаза её не видели и не представляют о чём пишут. Архитектура у астериска нормальная." - имел в виду то, что "любители потрындеть" чаще всего ничего не знают о реальных проблемах в ПО для АТС, а просто "слышат" - как в нашем с тобой случае.

sergee
() автор топика
Ответ на: комментарий от Alter

>sipX. когда станет мало нарастите функционал на выделенном app server'е.

и как оно там сделано? у астериска-то хоть AGI есть

dimon555 ★★★★★
()
Ответ на: комментарий от sergee

> Ну на такой суровый аргумент мне нечего ответить. где слышишь то? поди на рынке овощном? или на заборе черканул кто? :)) > Какие есть реальные претензии? или только "слышу"? :)

В chain_sip.c таки давно заглядывали ? Дальше продолжать ?

Alter ★★
()
Ответ на: комментарий от dimon555

> и как оно там сделано? у астериска-то хоть AGI есть

А AGI таки надо понимать успел стать industry standard'ом. JSR 289 для всех извращений вам хватит.

Alter ★★
()
Ответ на: комментарий от Alter

sipx показался мне вполне интересным решением.

Попробую. Я только не понял, он в ldap юзеров хранит или в своих унутрях?

И еще, хотелось бы узнать, кто с какими телефонами его использовал. Как у него с отображением занятости линии, трансферами и конференциями.

И кодеки, g729 оно держит?

AVL2 ★★★★★
()
Ответ на: комментарий от sergee

В глаза не видел архитектуру asterisk'а, но читал описание его проблем от автора freeswitch. Думаю, он прав.

Одна из проблем: до меня до сих пор не доходит, какого $%^& для корректной работы MoH необходим ядерный модуль ztdummy или zaprtc?

ximeric
()
Ответ на: комментарий от AVL2

> sipx показался мне вполне интересным решением.

Да, один из немногих кандидатов на роль CCM killer

> Попробую.

там Live CD есть

> Я только не понял, он в ldap юзеров хранит или в своих унутрях?

Унутрях ув Postgresql. C LDAP/AD может засасывать як та собака.

> И еще, хотелось бы узнать, кто с какими телефонами его использовал.

провижинятся. список вроде в вике был..

> Как у него с отображением занятости линии,

так же как и у телефонов с presence, есть грабли в общем

> трансферами

ну телефоны (в основном) вроде как REFER уже жевать научились

> и конференциями.

ждите весны, они на эту роль FreeSwitch закрутят

> И кодеки, g729 оно держит?

Оно в кодеки не смотрит - RTP мимо кассы, а дальше как UAC'и договорятся, с VM договориться в G.711 проблем нет.

Alter ★★
()
Ответ на: комментарий от ximeric

>Одна из проблем: до меня до сих пор не доходит, какого $%^& для корректной работы MoH необходим ядерный модуль ztdummy или zaprtc?

Нужен источник синхросигналов, в том числе и для конференций. А архитектура да... но что с него взять? Астер задумывался как аналог офисной мини-АТС. В то время бесплатная программная АТС на писюке с простой платой FXO была прорывом. По архитектуре есть более красивые решения, как для канально-ориентированных B2BUA систем (YATE например), так и для чисто SIP-based (sipX, OpenSER). Плюс астера - большая пользовательская база и все, что с этим связано (больше фич, гуевых приблуд, дистров, опять же вендоры железа, интеграторы, форумы, порталы и пр.)

aiker ★★
()
Ответ на: комментарий от Alter

>ну телефоны (в основном) вроде как REFER уже жевать научились

А все телефоны могут при этом давать MOH с центрального сервера? Для пира, который в HOLD уходит? А то у меня есть 3 IP телефона (брал разные - для тестов) так там пир тишину слушает (или дефолтный саунд, уж не помню). А как быть с аналоговой оконечкой, которая через АТА и шлюзы заводится? Flash жамкать каждый раз? Неединообразие получается. Можно ли в SipX настроить для всех трансфер одинаково (например, по #)?

aiker ★★
()
Ответ на: комментарий от Alter

Таки не просто заглядывал, даже патчи мои туда закомичены. Продолжать не надо, я понял, что никакой конкретики не будет.

sergee
() автор топика
Ответ на: комментарий от aiker

> А все телефоны могут при этом давать MOH с центрального сервера?

Ну насчет "телефоны могут при этом.." отвечать не буду ;-)

> А как быть с аналоговой оконечкой, которая через АТА и шлюзы заводится?

в сад

> Неединообразие получается.

Ракообразие многобразных лечить так:

http://tools.ietf.org/html/rfc5359#page-38

IMHO.

Alter ★★
()
Ответ на: комментарий от sergee

> Таки не просто заглядывал, даже патчи мои туда закомичены.

так в курсе..

> Продолжать не надо, я понял, что никакой конкретики не будет.

Могу конкретно & предметно, могу матом, могу Ваши слова поискать, только смысла не очень вижу.

Alter ★★
()
Ответ на: комментарий от ximeric

если коротко: это наследие ядра 2.4 , если длинней - ответили выше, Астериск это B2BUA и РТП ему не чужд. Я вот здесь расписывал разнообразные варианты таймеров: http://tamkovich.com/2008/12/asterisk-timers/ если интересно - почитай.

sergee
() автор топика
Ответ на: комментарий от AVL2

я бы держался в стороне от всякого эксклюзива вроде sipx, yate и т.д. Что-нибудь не получится - помощи не найдёшь. Как ты видишь из данного треда, претензии к Астериску в основном религиозные. Если ты не поп от линукса и тебе нужен результат а не религия - используй астериск.

sergee
() автор топика
Ответ на: комментарий от sergee

>я бы держался в стороне от всякого эксклюзива вроде sipx, yate и т.д. Что-нибудь не получится - помощи не найдёшь.

С YATE я достаточно долго работаю, практически на все вопросы получал ответы в рассылке или в IRC. Фич в базовой YATE немного, но благодаря "микроядерной" архитектуре внешние модули вешаются легко и непринужденно. Но самый писк - это их Python либа для написания модулей расширения. Базируется на Twisted - фрэймворке для асинхронных приложений. Мля... когда я написал свой вариант IP PBX, работающей без единого потока на одних Deferred'ах я писал кипятком. Моща!! К сожалению Asterisk AGI, AMI и пр. не дадут таких возможностей.

P.S. Против астера ничего не имею, хорошая штука, пользуем в офисе.

aiker ★★
()
Ответ на: комментарий от Alter

>в сад

"Ах если-б, ах если-б бы славный король..." (c) Ничего удобнее обычного аналогового телефона в качестве "говорилки" еще не придумали :-ъ

aiker ★★
()
Ответ на: комментарий от sergee

> ты бы предложил правильный, по твоему мнению, вариант перевода, а то уж больно напоминает пустозвонство.

А мне подобные понты напоминают обиженного подростка. Хоть в Lingvo загляни, лингвист-теоретик! Pedantic можно перевести как "строгий", "регламентированный" в зависимости от сути этой педантичности.

На критику надо не вякать "а сам-то что!", а сесть и подумать - люди помимо тебя тоже бывают правы.

matumba ★★★★★
()
Ответ на: комментарий от aiker

> "Ах если-б, ах если-б бы славный король..." (c) Ничего удобнее обычного аналогового телефона в качестве "говорилки" еще не придумали :-ъ

3GPP на дворе, IMS ставятся пачками, а вы все про "говорилки"..

Вылезаем из танка - (с)

Alter ★★
()
Ответ на: комментарий от Alter

>3GPP на дворе, IMS ставятся пачками, а вы все про "говорилки".. >Вылезаем из танка - (с)

Потому-что 95% офисных сотрудников используют телефон, чтобы "позвонить". И телефон этот должен стоить не больше 1000р. Свистопердящий IP Phone нужен только боссу.

aiker ★★
()
Ответ на: комментарий от matumba

Дружище, у тебя с головой как? Какая разница как можно перевести? Что, в Русском языке нет слова "педантичный"? Суть претензий в чём? в том, что pedantic=yes не называют "педантичным режимом" в Русском астериск-сообществе?

И таки твой любимый лингво со мной согласен http://lingvo.yandex.ru/en?text=pedantic&st_translate=on

Критика это когда аргументировано, а когда так как было, это ... кхм... трындёж.

sergee
() автор топика
Ответ на: комментарий от aiker

телефон без видео? без многоканального режима? без отображения в веб его статуса? без конференций? без автоответчика, автофорварда и т.д. разным людям с прослушиванием звонов в браузере?

Это что вообще такое? Кирпич? Камень?

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

>телефон без видео?

Видео в окне с пачку сигарет? А оно надо?

>без многоканального режима?

Все резко стали секретаршами или сотрудниками Call-центра?

>без отображения в веб его статуса?

Не понял. Статус чего отображается? Телефона? Свободен/занято? И как же это даже наипростейший FOP умеет это отображать для любого юзерского терминала?

>без конференций?

Трехсторонка штоль? Или ты про конференцию на 10 и более человек с модерированием, записью, определением говорящего, трансляцией во Flash и т.д.? И какой IP фон это умеет?

>без автоответчика, автофорварда и т.д.

Гораздо гибче рулить это на IP PBX ибо там есть доступ к базам пользователей, Presence и пр. ерунде.

>с прослушиванием звонов в браузере?

Записанных штоль? На флэшку в телефоне? Ну-ну.

>Это что вообще такое? Кирпич? Камень?

Это надежный и удобный девайс для выполнения звонков. Остальное - свистопердение, стоящее в наше время от 100$. За предложение снести аналоговые телефоны в конторе на > 100 пользовтелей и воткнуть туда стобаксовые айпифоны могут послать далеко.

aiker ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.