Отказ в обслуживании в Asterisk

Дата публикации:
04.06.2008
Дата изменения:
06.06.2008
Всего просмотров:
955
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Asterisk 1.x
Asterisk Business Edition 2.x
Уязвимые версии:
Asterisk Open Source 1.0.x (все версии)
Asterisk Open Source 1.2.x (все версии до 1.2.29)
Asterisk Business Edition A.x.x (все версии)
Asterisk Business Edition B.x.x (все версии до B.2.5.3)

Описание:
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании приложения.

Уязвимость существует из-за ошибки разыменования нулевого указателя в функции "ast_uri_decode()". Удаленный пользователь может с помощью специально сформированного SIP сообщения, не содержащего поле "From", аварийно завершить работу приложения. Для успешной эксплуатации уязвимости педантичная обработка сообщений должна быть включена.

URL производителя: www.asterisk.org

Решение: Установите последнюю версию 1.2.29 или B.2.5.3 с сайта производителя.

Журнал изменений:

06.06.2008
Добавлен PoC код.

Ссылки: AST-2008-008: Remote Crash Vulnerability in SIP channel driver when run in pedantic mode
Asterisk (SIP channel driver / in pedantic mode) Remote Crash Exploit

или введите имя

CAPTCHA