Asterisk szolgáltatás megtagadásos sérülékenységek

2012. május 30. 11:07

CH-6922

Asterisk Two Denial of Service Vulnerabilities

2012.05.29.

Asterisk 1.x
Asterisk 10.x

Az Asterisk két olyan sérülékenysége vált ismertté, melyet kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) tudnak előidézni.

Az IAX2 channel driver egy hibája a “handle_request_update()” függvényen belül (channels/chan_sip.c) a létrejött hívás tartásba helyezésekor kihasználható összeomlás előidézésére speciálisan erre a célra elkészített csomagok küldésével.
A sikeres kihasználás feltétele, hogy a mohinterpret=passthrough be legyen állítva és a hívás az ajánlott music-on-hold class name mellőzésével kerüljön tartásba.
A channels/chan_skinny.c fájlban lévő SCCP (Skinny) channel driver egy hibáját kihasználva, ami a kliens kapcsolat megszakításának kezelésekor jelentkezik, a rendszer összeomlását lehet előidézni a kapcsolat lezárásával bizonyos hívás állapotok esetén.

A sérülékenységek az 1.8.11-cert 1.8.11-cert2 előtti, 1.8.x 1.8.12.1 előtti és a 10.x 10.4.1 előtti verziókban találhatók.

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-31489 – MinIO sérülékenysége

CVE-2025-31161 – CrushFTP Authentication Bypass sebezhetősége

CVE-2025-2704 – OpenVPN sebezhetősége

CVE-2025-22457 – Ivanti Connect Secure, Policy Secure and ZTA Gateways Stack-Based Buffer Overflow sebezhetősége

CVE-2025-30401 – WhatsApp for Windows sérülékenysége

CVE-2025-24228 – Apple sebezhetősége

CVE-2025-24097 – Apple sebezhetősége

CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége

CVE-2025-1268 – Canon sebezhetősége