Отказ в обслуживании в канальном драйвере SIP в Asterisk

Дата публикации:
11.08.2009
Всего просмотров:
890
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:N/A:C/E:U/RL:O/RC:C) = Base:7.8/Temporal:5.8
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Asterisk 1.x
Asterisk Business Edition 2.x
s800i (Asterisk Appliance) 1.x
Уязвимые версии:
Asterisk Open Source 1.2.x версии до 1.2.34
Asterisk Open Source 1.4.x версии до 1.4.26.1
Asterisk Open Source 1.6.0.x версии до 1.6.0.12
Asterisk Open Source 1.6.1.x версии до 1.6.1.4
Asterisk Business Edition A.x.x версии
Asterisk Business Edition версии до B.2.5.9
Asterisk Business Edition C.2.x версии до C.2.4.1
Asterisk Business Edition C.3.x версии до C.3.1
s800i (Asterisk Appliance) 1.2.x версии до 1.3.0.3

Описание:
Уязвимость позволяет удаленному пользователю произвести DoS атаку.

Уязвимость существует из-за того, что приложение вызывает функцию sscanf() без указания параметра максимальной ширины для обработки SIP сообщений. Удаленный пользователь может потребить все ресурсы стека с помощью специально сформированного SIP сообщения, содержащего слишком длинные последовательности числовых ASCII строк в качестве значения для CSeq в SIP заголовке, в качестве значения для Content-Length и SDP.

URL производителя: www.asterisk.org

Решение: Установите последнюю версию с сайта производителя.

Ссылки: http://downloads.asterisk.org/pub/security/AST-2009-005.html
http://labs.mudynamics.com/advisories/MU-200908-01.txt

или введите имя

CAPTCHA