CH azonosító
CH-7502Angol cím
Asterisk Two VulnerabilitiesFelfedezés dátuma
2012.08.31.Súlyosság
KözepesÉrintett rendszerek
AsteriskAsterisk Business Edition
Digium
Érintett verziók
Asterisk 1.x, 10.x
Asterisk Business Edition 3.x
Összefoglaló
Az Asterisk két olyan sérülékenységét jelentették, amelyet a rosszindulatú felhasználók kihasználva megkerülhetnek bizonyos biztonsági szabályokat és feltörhetik a sérülékeny rendszert.
Leírás
- Az Asterisk Manager Interface “originate” műveletek kezelése során nem megfelelően korlátozza a hozzáférést, ezt a hibát kihasználva tetszőleges shell parancsok futtathatóak az “ExternalIVR” alkalmazás művelettel.
További információ az alábbi hivatkozás 1. pontjában taláható:
CERT-Hungary CH-6755
A sérülékenység sikeres kihasználásához szükséges, hogy a támadó hívásokat hajthasson végre. - Egy peer nevében végrehajtott IAX2 hívások során fellépő hiba kihasználható bizonyos ACL (Access Control List) szabályok figyelmen kívül hagyására a hívás megkezdésekor.
A sérülékenység sikeres kihasználásához szükséges, hogy a támadónak tudomása legyen egy olyan peer felhasználói fiókról, amely egy dinamikus Asterisk Realtime Architecture (ARA) háttérarchitektúrán lett definiálva.
Olvassa el a gyártó bejelentését az érintett termékek listájáért.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: downloads.asterisk.org
Gyártói referencia: downloads.asterisk.org
CVE-2012-2186 - NVD CVE-2012-2186
CVE-2012-4737 - NVD CVE-2012-4737
CERT-Hungary CH-6755
SECUNIA 50456