Security Lab

Раскрытие данных в SIP REGISTER ответах в Asterisk

Дата публикации:16.11.2009
Дата изменения:16.04.2010
Всего просмотров:2676
Опасность:
Низкая
Наличие исправления: Частично
Количество уязвимостей:1
CVSSv2 рейтинг: 7.8 (AV:N/AC:L/Au:N/C:C/I:N/A:N/E:U/RL:W/RC:C)
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Asterisk 1.x
Asterisk Business Edition 2.x
s800i (Asterisk Appliance) 1.x
Уязвимые версии:
Asterisk версии до 1.2.35, 1.4.26.3, 1.6.0.17 и 1.6.19
Asterisk Business Edition версии до B.2.5.12, C.2.4.5 и C.3.2.2
Asterisk Business Edition версии A.x
S800i версии до 1.3.0.5
AsteriskNOW 1.5

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к потенциально важным данным.

Уязвимость существует из-за того, что приложение отправляет различные ответы в зависимости от корректности имени пользователя в SIP REGISTER сообщениях. Удаленный пользователь может с помощью специально сформированных REGISTER сообщений определить наличие имен пользователей на системе.

URL производителя: www.asterisk.org

Решение: Установите последнюю версию с сайта производителя. Способов устранения уязвимостей для Asterisk Business Edition A.x и AsteriskNOW не существует в настоящее время.

Ссылки: http://downloads.asterisk.org/pub/security/AST-2009-008.html