Раскрытие данных в SIP REGISTER ответах в Asterisk

Дата публикации:
16.11.2009
Дата изменения:
16.04.2010
Всего просмотров:
2405
Опасность:
Низкая
Наличие исправления:
Частично
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:C/I:N/A:N/E:U/RL:W/RC:C) = Base:7.8/Temporal:6.3
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Asterisk 1.x
Asterisk Business Edition 2.x
s800i (Asterisk Appliance) 1.x
Уязвимые версии:
Asterisk версии до 1.2.35, 1.4.26.3, 1.6.0.17 и 1.6.19
Asterisk Business Edition версии до B.2.5.12, C.2.4.5 и C.3.2.2
Asterisk Business Edition версии A.x
S800i версии до 1.3.0.5
AsteriskNOW 1.5

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к потенциально важным данным.

Уязвимость существует из-за того, что приложение отправляет различные ответы в зависимости от корректности имени пользователя в SIP REGISTER сообщениях. Удаленный пользователь может с помощью специально сформированных REGISTER сообщений определить наличие имен пользователей на системе.

URL производителя: www.asterisk.org

Решение: Установите последнюю версию с сайта производителя. Способов устранения уязвимостей для Asterisk Business Edition A.x и AsteriskNOW не существует в настоящее время.

Ссылки: http://downloads.asterisk.org/pub/security/AST-2009-008.html

или введите имя

CAPTCHA