漏洞信息详情
Asterisk IAX2协议呼叫号码拒绝服务漏洞
- CNNVD编号:CNNVD-200909-091 <!--
- 危害等级: 高危-->
- 危害等级: 高危
- CVE编号: CVE-2009-2346
- 漏洞类型: 缓冲区溢出
- 发布时间: 2009-09-08
- 威胁类型: 远程
- 更新时间: 2009-09-09
- 厂 商: asterisk
- 漏洞来源: Russell Bryant ru...
-
漏洞简介
Asterisk是开放源码的软件PBX,支持各种VoIP协议和设备。
Asterisk的IAX2协议使用呼叫号码将消息关联到呼叫,但协议将消息中的呼叫号码字段大小定义为固定的15位,因此如果使用了所有的呼叫号码,就无法处理更多的会话。
会在开始IAX2消息交换时创建呼叫号码,因此攻击者可以发送大量的消息耗尽呼叫号码空间。还可以使用伪造的源IP地址来进行攻击,因为在分配呼叫号码之前不需要握手。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://downloads.asterisk.org/pub/security/AST-2009-006-1.2.diff.txt
http://downloads.asterisk.org/pub/security/AST-2009-006-1.4.diff.txt
http://downloads.asterisk.org/pub/security/AST-2009-006-1.6.0.diff.txt
http://downloads.asterisk.org/pub/security/AST-2009-006-1.6.1.diff.txt
参考网址
来源: BID
名称: 36275
链接:http://www.securityfocus.com/bid/36275
来源: BUGTRAQ
名称: 20090903 AST-2009-006: IAX2 Call Number Resource Exhaustion
链接:http://www.securityfocus.com/archive/1/archive/1/506257/100/0/threaded
来源: SECTRACK
名称: 1022819
链接:http://securitytracker.com/id?1022819
来源: SECUNIA
名称: 36593
链接:http://secunia.com/advisories/36593
来源: downloads.asterisk.org
链接:http://downloads.asterisk.org/pub/security/AST-2009-006.html
受影响实体
- Asterisk Appliance_s800i:1.3<!--2000-1-1-->
- Asterisk Appliance_s800i:1.3.0.2<!--2000-1-1-->
- Asterisk Open_source:1.2.31<!--2000-1-1-->
- Asterisk Open_source:1.2.32<!--2000-1-1-->
- Asterisk Open_source:1.2.33<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...