Отказ в обслуживании в Asterisk

Дата публикации:
25.07.2008
Всего просмотров:
2074
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2008-3263
CVE-2008-3264
Вектор эксплуатации:
Локальная сеть
Воздействие:
Отказ в обслуживании
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Asterisk 1.x
Asterisk Appliance Developer Kit 0.x
Asterisk Business Edition 2.x
Уязвимые версии:
Asterisk Open Source 1.0.x (все версии)
Asterisk Open Source 1.2.x (все версии до 1.2.30)
Asterisk Open Source 1.4.x (все версии до 1.4.21.2)
Asterisk Business Edition A.x.x (все версии)
Asterisk Business Edition B.x.x.x (все версии до B.2.5.4)
Asterisk Business Edition C.x.x.x (все версии до C.1.10.3)
AsteriskNOW pre-release (все версии)
Asterisk Appliance Developer Kit 0.x.x (все версии)
s800i (Asterisk Appliance) 1.0.x (все версии до 1.2.0.1)

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести DoS атаку.

1. Уязвимость существует из-за ошибки при обработке IAX2 "POKE" запросов. Удаленный пользователь может отправить большое количество "POKE" запросов, не отправляя "ACK" пакет в ответ на пакет "PONG", и потребить все IAX2 номера.

2. Уязвимость существует из-за того, что протокол загрузки прошивки не требует рукопожатие. Удаленный пользователь может отправит произвольном серверу пакеты размером 1040 байта с помощью 40-байтного пакета с подмененным адресом источника.

URL производителя: www.asterisk.org

Решение: Установите последнюю версию с сайта производителя.

Asterisk Open Source 1.2.x:
Update to version 1.2.30.

Asterisk Open Source 1.4.x:
Update to version 1.4.21.2.

Asterisk Business Edition B.x.x.x:
Update to version B.2.5.4.

Asterisk Business Edition C.x.x.x:
Update to version C.1.10.3.

s800i (Asterisk Appliance) 1.0.x:
Update to version 1.2.0.1.



Ссылки: http://downloads.digium.com/pub/security/AST-2008-010.html
http://downloads.digium.com/pub/security/AST-2008-011.html
или введите имя

CAPTCHA