Asterisk szolgáltatás megtagadásos sérülékenységek

2012. május 30. 11:07

CH-6922

Asterisk Two Denial of Service Vulnerabilities

2012.05.29.

Asterisk 1.x
Asterisk 10.x

Az Asterisk két olyan sérülékenysége vált ismertté, melyet kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) tudnak előidézni.

Az IAX2 channel driver egy hibája a “handle_request_update()” függvényen belül (channels/chan_sip.c) a létrejött hívás tartásba helyezésekor kihasználható összeomlás előidézésére speciálisan erre a célra elkészített csomagok küldésével.
A sikeres kihasználás feltétele, hogy a mohinterpret=passthrough be legyen állítva és a hívás az ajánlott music-on-hold class name mellőzésével kerüljön tartásba.
A channels/chan_skinny.c fájlban lévő SCCP (Skinny) channel driver egy hibáját kihasználva, ami a kliens kapcsolat megszakításának kezelésekor jelentkezik, a rendszer összeomlását lehet előidézni a kapcsolat lezárásával bizonyos hívás állapotok esetén.

A sérülékenységek az 1.8.11-cert 1.8.11-cert2 előtti, 1.8.x 1.8.12.1 előtti és a 10.x 10.4.1 előtti verziókban találhatók.

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-20236 – Cisco Webex App sebezhetősége

CVE-2017-5754 – Linux Kernel sebezhetősége

CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége

CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége

CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége

CVE-2025-23008 – SonicWall NetExtender Improper Privilege Management sebezhetősége

CVE-2024-0132 – NVIDIA Container Toolkit sérülékenysége

CVE-2025-3102 – SureTriggers sérülékenysége

CVE-2025-24859 – Apache Roller sebezhetősége