Asterisk "ast_uri_encode()" puffer túlcsordulás sérülékenység

Asterisk “ast_uri_encode()” puffer túlcsordulás sérülékenység

2011. január 21. 12:02

CH azonosító

CH-4237

Angol cím

Asterisk "ast_uri_encode()" Buffer Overflow Vulnerability

Felfedezés dátuma

2011.01.20.

Súlyosság

Közepes

Érintett rendszerek

Asterisk
Asterisk Business Edition
Digium

Érintett verziók

Asterisk 1.x
Asterisk Business Edition 3.x

Összefoglaló

Az Asterisk olyan sérülékenysége vált ismertté, amelyet kihasználva rosszindulatú felhasználók szolgáltatás megtagadást (DoS – Denial of Service) tudnak előidézni és feltörhetik a sérülékeny rendszert.

Leírás

A sérülékenységet egy hiba okozza a “ast_uri_encode()” függvényen belül a main/utils.c-ben. Ez kihasználható puffer túlcsordulás előidézésére speciálisan erre a célra szerkesztett caller ID információ küldésével.

A sérülékenység sikeres kihasználásának feltétele, hogy a SIP csatorna meghajtó engedélyezett “pedantic” opcióval legyen konfigurálva.

A sérülékenységet az Asterisk Open Source Edition 1.4.38.1-est, 1.4.39.1-est, 1.6.1.21-est, 1.6.2.15.1-est, 1.6.2.16.1-est, 1.8.1.2-est és 1.8.2.1-est megelőző és Asterisk Business Edition C.3.6.2-est megelőző verzióiban jelentették.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-20236 – Cisco Webex App sebezhetősége

CVE-2017-5754 – Linux Kernel sebezhetősége

CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége

CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége

CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége

CVE-2025-23008 – SonicWall NetExtender Improper Privilege Management sebezhetősége

CVE-2024-0132 – NVIDIA Container Toolkit sérülékenysége

CVE-2025-3102 – SureTriggers sérülékenysége

CVE-2025-24859 – Apache Roller sebezhetősége

Tovább a sérülékenységekhez »

Asterisk “ast_uri_encode()” puffer túlcsordulás sérülékenység