CVE-2020-35652 digium asterisk 其他

CVE编号

CVE-2020-35652

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-01-29

漏洞描述

Digium Asterisk是美国Digium公司的一套开源电话交换机（PBX）系统软件。该软件支持语音信箱、多方语音会议、交互式语音应答(IVR)等。 Sangoma Asterisk 多款产品存在安全漏洞，该漏洞源于当接收到带有包含tel-uri的History-Info头的SIP消息时，或者接收到包含转移头中的tel-uri的SIP 181响应时，可能会发生崩溃。以下产品及版本受到影响：Sangoma Asterisk before 13.38.0, 14.x through 16.x before 16.15.0, 17.x before 17.9.0, and 18.x before 18.1.0。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://downloads.asterisk.org/pub/security/AST-2020-004.html

参考链接
https://downloads.asterisk.org/pub/security/AST-2020-003.html
https://downloads.asterisk.org/pub/security/AST-2020-004.html
https://issues.asterisk.org/jira/browse/ASTERISK-29191
https://issues.asterisk.org/jira/browse/ASTERISK-29219

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	digium	asterisk	*		Up to (excluding) 13.38.0
	运行在以下环境
	应用	digium	asterisk	*	From (including) 14.0	Up to (excluding) 16.15.0
	运行在以下环境
	应用	digium	asterisk	*	From (including) 17.0	Up to (excluding) 17.9.0
	运行在以下环境
	应用	digium	asterisk	*	From (including) 18.0	Up to (excluding) 18.1.0
	运行在以下环境
	系统	alpine_3.12	asterisk	*		Up to (excluding) 16.15.1-r0
	运行在以下环境
	系统	alpine_3.13	asterisk	*		Up to (excluding) 18.1.1-r0
	运行在以下环境
	系统	alpine_3.14	asterisk	*		Up to (excluding) 18.1.1-r0
	运行在以下环境
	系统	alpine_3.15	asterisk	*		Up to (excluding) 18.1.1-r0
	运行在以下环境
	系统	alpine_edge	asterisk	*		Up to (excluding) 18.1.1-r0
	运行在以下环境
	系统	debian_10	asterisk	*		Up to (excluding) 16.2.1~dfsg-1+deb10u2
	运行在以下环境
	系统	debian_11	asterisk	*		Up to (excluding) 16.15.0~dfsg-1
	运行在以下环境
	系统	debian_9	asterisk	*		Up to (excluding) 13.14.1~dfsg-2+deb9u4
	运行在以下环境
	系统	debian_sid	asterisk	*		Up to (excluding) 16.15.0~dfsg-1
查看完整数据

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID 漏洞类型 NVD-CWE-noinfo