CH azonosító
CH-7502Angol cím
Asterisk Two VulnerabilitiesFelfedezés dátuma
2012.08.31.Súlyosság
KözepesÉrintett rendszerek
AsteriskAsterisk Business Edition
Digium
Érintett verziók
Asterisk 1.x, 10.x
Asterisk Business Edition 3.x
Összefoglaló
Az Asterisk két olyan sérülékenységét jelentették, amelyet a rosszindulatú felhasználók kihasználva megkerülhetnek bizonyos biztonsági szabályokat és feltörhetik a sérülékeny rendszert.
Leírás
- Az Asterisk Manager Interface “originate” műveletek kezelése során nem megfelelően korlátozza a hozzáférést, ezt a hibát kihasználva tetszőleges shell parancsok futtathatóak az “ExternalIVR” alkalmazás művelettel.
További információ az alábbi hivatkozás 1. pontjában taláható:
CERT-Hungary CH-6755
A sérülékenység sikeres kihasználásához szükséges, hogy a támadó hívásokat hajthasson végre. - Egy peer nevében végrehajtott IAX2 hívások során fellépő hiba kihasználható bizonyos ACL (Access Control List) szabályok figyelmen kívül hagyására a hívás megkezdésekor.
A sérülékenység sikeres kihasználásához szükséges, hogy a támadónak tudomása legyen egy olyan peer felhasználói fiókról, amely egy dinamikus Asterisk Realtime Architecture (ARA) háttérarchitektúrán lett definiálva.
Olvassa el a gyártó bejelentését az érintett termékek listájáért.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: downloads.asterisk.org
Gyártói referencia: downloads.asterisk.org
CVE-2012-2186 - NVD CVE-2012-2186
CVE-2012-4737 - NVD CVE-2012-4737
CERT-Hungary CH-6755
SECUNIA 50456