Összefoglaló
Az Asterisk két olyan sérülékenysége vált ismertté, melyet kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) tudnak előidézni.
Leírás
- Az IAX2 channel driver egy hibája a “handle_request_update()” függvényen belül (channels/chan_sip.c) a létrejött hívás tartásba helyezésekor kihasználható összeomlás előidézésére speciálisan erre a célra elkészített csomagok küldésével.
A sikeres kihasználás feltétele, hogy a mohinterpret=passthrough be legyen állítva és a hívás az ajánlott music-on-hold class name mellőzésével kerüljön tartásba. - A channels/chan_skinny.c fájlban lévő SCCP (Skinny) channel driver egy hibáját kihasználva, ami a kliens kapcsolat megszakításának kezelésekor jelentkezik, a rendszer összeomlását lehet előidézni a kapcsolat lezárásával bizonyos hívás állapotok esetén.
A sérülékenységek az 1.8.11-cert 1.8.11-cert2 előtti, 1.8.x 1.8.12.1 előtti és a 10.x 10.4.1 előtti verziókban találhatók.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: downloads.asterisk.org
Gyártói referencia: downloads.asterisk.org
CVE-2012-2947 - NVD CVE-2012-2947
CVE-2012-2948 - NVD CVE-2012-2948
SECUNIA 49303