Érintett rendszerek
AsteriskAsterisk Appliance Developer Kit
Asterisk Business Edition
Digium
Érintett verziók
Digium Asterisk Appliance Developer Kit 0.x
Digium Asterisk Business Edition 2.x
Digium Asterisk 1.x
Összefoglaló
Az Asterisk gyengeségét jelentették, melyet rosszindulat támadók a felhasználó munkamenetének eltérítésére használhatnak (session hijacking).
Leírás
Az Asterisk gyengeségét jelentették, melyet rosszindulat támadók a felhasználó munkamenetének eltérítésére használhatnak (session hijacking).
A gyengeséget az előre látható, megjósolható HTTP Manager azonosító (ID) okozza. Ez egy manager munkamenetének az eltérítésére használható a munkamenet azonosító kitalálásával.
A gyengeséget az alábbi verziókra jelentették:
- Asterisk Open Source 1.4.x 1.4.19-rc3 verzióig.
- Asterisk Open Source 1.6.x 1.6.0-beta6 verzióig.
- Asterisk Business Edition C.x.x C.1.6 verzióig.
- AsteriskNOW 1.0.2 verzióig.
- Asterisk Appliance Developer Kit SVN revision 104704 verzióig.
- s800i (Asterisk Appliance) 1.1.0.2 verzióig.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Authentication Issues (Hitelesítés)Hijacking (Visszaélés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
SECUNIA 29449
Egyéb referencia: downloads.digium.com