<br><br>---------- Forwarded message ----------<br>From: Asterisk Development Team<br>Date: Thursday, March 15, 2012<br>Subject: [asterisk-dev] Asterisk 1.4.44, 1.6.2.23, 1.8.10.1, 10.2.1 Now Available (Security Releases)<br>
To: <a href="mailto:asterisk-dev@lists.digium.com">asterisk-dev@lists.digium.com</a><br><br><br>The Asterisk Development Team has announced security releases for Asterisk 1.4,<br>1.6.2, 1.8, and 10. The available security releases are released as versions<br>
1.4.44, 1.6.2.23, 1.8.10.1, and 10.2.1.<br><br>These releases are available for immediate download at<br><a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases">http://downloads.asterisk.org/pub/telephony/asterisk/releases</a><br>
<br>The release of Asterisk 1.4.44 and 1.6.2.23 resolve an issue wherein app_milliwatt<br>can potentially overrun a buffer on the stack, causing Asterisk to crash.  This<br>does not have the potential for remote code execution.<br>
<br>The release of Asterisk 1.8.10.1 and 10.2.1 resolve two issues.  First, they<br>resolve the issue in app_milliwatt, wherein a buffer can potentially be overrun<br>on the stack, but no remote code execution is possible.  Second, they resolve<br>
an issue in HTTP AMI where digest authentication information can be used to<br>overrun a buffer on the stack, allowing for code injection and execution.<br><br>These issues and their resolution are described in the security advisory.<br>
<br>For more information about the details of these vulnerabilities, please read the<br>security advisories AST-2012-002 and AST-2012-003, which were released at the same<br>time as this announcement.<br><br>For a full list of changes in the current releases, please see the ChangeLogs:<br>
<br><a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.4.44">http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.4.44</a><br><a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.6.2.23">http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.6.2.23</a><br>
<a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.10.1">http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.8.10.1</a><br><a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.2.1">http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-10.2.1</a><br>
<br>The security advisories are available at:<br><br> * <a href="http://downloads.asterisk.org/pub/security/AST-2012-002.pdf">http://downloads.asterisk.org/pub/security/AST-2012-002.pdf</a><br> * <a href="http://downloads.asterisk.org/pub/security/AST-2012-003.pdf">http://downloads.asterisk.org/pub/security/AST-2012-003.pdf</a><br>
<br>Thank you for your continued support of Asterisk!<br><br><br><br><br>--<br>_____________________________________________________________________<br>-- Bandwidth and Colocation Provided by <a href="http://www.api-digital.com">http://www.api-digital.com</a> --<br>
<br>asterisk-dev mailing list<br>To UNSUBSCRIBE or update options visit:<br>  <a href="http://lists.digium.com/mailman/listinfo/asterisk-dev">http://lists.digium.com/mailman/listinfo/asterisk-dev</a><br><br>