Összefoglaló
A SUSE kiadta az asterisk frissítését. Ez javít több olyan sebezhetőséget, melyet rosszindulatú támadók szolgáltatás megtagadás (DoS) okozására vagy a rendszer feltörésére használhattak fel.
Leírás
A SuSE megjelentette javító csomagjait az Asterisk-ben azonosított többféle sebezhetőség megerősítésére. Ezeket a hiányosságokat kiaknázhatták a támadók tetszőleges parancsok futtatására vagy szolgáltatás megtagadás okozására.
- A chan_skinny.c “get_input()” függvényének egész túlcsordulás hibáját kihasználva halom túlcsordulás okozható az Asterisk Skinny channel drivernek küldött, különlegesen kialakított csomagokkal.
- A szabálytalan SIP csomagok kezelésének meghatározatlan hibáit kihasználva pl. leállítható az Asterisk, csatornák nyithatók, feltölthetők a várakozási sorok, log fájlok és a hangüzenetek rendelkezésére álló hely különlegesen kialakított csomagokkal.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Deny of service (Szolgáltatás megtagadás)Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2006-5444 - NVD CVE-2006-5444
CVE-2006-5445 - NVD CVE-2006-5445
SECUNIA 22979
SECUNIA 22480
Egyéb referencia: www.vupen.com
Gyártói referencia: lists.suse.com