CH azonosító
CH-14213Angol cím
Asterisk vulnerabilitiesFelfedezés dátuma
2017.08.31.Súlyosság
MagasÉrintett rendszerek
Asterisk FrameworkÉrintett verziók
Asterisk 11.25.2, 13.17.1, 14.6.1 előtti verziók.
Összefoglaló
Az Asterisk két magas és egy közepes kockázati besorolású sérülékenysége vált ismertté, melyek segítségével átvehető a rendszer feletti irányítás.
Leírás
A távoli felhasználó egy speciálisan kialakított URI-t helyezhet el az üzenet fejlécében, amivel szolgáltatás-megtagadást (DoS) idézhet elő. [CVE-2017-14098]
Az érintett szoftver RTP támogatási hibáját kihasználva, amennyiben a távoli támadó túlzott mennyiségű RTP-forgalmat küld a célzott eszközre, a támadónak lehetősége nyílik szenzitív információk megszerzésére. [CVE-2017-14099]
A távoli hitelesített felhasználók speciálisan kialakított hívófél-azonosító és számadatokat tudnak megadni, amelyek érvényesítési hibát generálnak az “app_minivm” modulban, ezáltal tetszőleges parancsokat futtathatnak a célrendszeren. [CVE-2017-14100]
Megoldás
Frissítsen a legújabb verzióraMegoldás
A hibák a következő verziókban kerültek javításra: 11.25.2, 13.17.1, 14.6.1.
Támadás típusa
Hijacking (Visszaélés)Input Validation
execute arbitrary code
Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Physical/Console (Fizikai/konzol)Hivatkozások
Gyártói referencia: downloads.asterisk.org
Gyártói referencia: downloads.asterisk.org
Gyártói referencia: downloads.asterisk.org
CVE-2017-14098 - NVD CVE-2017-14098
CVE-2017-14099 - NVD CVE-2017-14099
CVE-2017-14100 - NVD CVE-2017-14100