Asterisk szolgáltatás megtagadásos sérülékenységek

2011. június 27. 07:36

CH-5099

Asterisk Multiple Denial of Service Vulnerabilities

2011.06.23.

Asterisk 1.x
Asterisk Business Edition 3.x

Az Asterisk több sérülékenységét jelentették, amiket kihasználva támadók szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.

A channels/chan_sip.c “sipsock_read()” függvényének NULL byte-ot tartalmazó kérések feldolgozásakor jelentkező bemenet ellenőrzési hibáját kihasználva módosítani lehet a memória tartalmát, valamint a rendszer összeomlását lehet előidézni speciálisan elkészített SIP csomagokkal.
A channels/sip/reqresp_parser.c “get_in_brackets_full()” függvényének NULL mutató hivatkozás feloldási hibáját kihasználva, össze lehet omlasztani a rendszert egy speciálisan elkészített SIP “Contact” fejléc segítségével.
A IAX2 channel driver (channels/chan_iax2.c) “iax2_setoption()” függvényének bemenet ellenőrzési hibáját kihasználva, egy speciálisan elkészített option control frame segítségével hozzá lehet férni a memóriához.

Olvassa el a gyártó tájékoztatóját az érintett termékekről!

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-34028 – Commvault Command Center Path Traversal sérülékenysége

CVE-2023-44221 – SonicWall SMA100 Appliances OS Command Injection sérülékenysége

CVE-2024-38475 – Apache HTTP Server Improper Escaping of Output sérülékenysége

CVE-2025-24132 – Apple AirPlay sebezhetősége

CVE-2025-31330 – SAP Landscape Transformation sebezhetősége

CVE-2025-27429 – SAP sebezhetősége

CVE-2025-21204 – Windows Process Activation Elevation of Privilege sebezhetősége

CVE-2025-32432 – Craft CMS RCE sebezhetősége

CVE-2025-1976 – Broadcom Brocade Fabric OS Code Injection sebezhetősége