Asterisk sérülékenységek

CH azonosító

CH-7502

Angol cím

Asterisk Two Vulnerabilities

Felfedezés dátuma

2012.08.31.

Súlyosság

Közepes

Érintett rendszerek

Asterisk
Asterisk Business Edition
Digium

Érintett verziók

Asterisk 1.x, 10.x
Asterisk Business Edition 3.x

Összefoglaló

Az Asterisk két olyan sérülékenységét jelentették, amelyet a rosszindulatú felhasználók kihasználva megkerülhetnek bizonyos biztonsági szabályokat és feltörhetik a sérülékeny rendszert.

Leírás

  1. Az Asterisk Manager Interface “originate” műveletek kezelése során nem megfelelően korlátozza a hozzáférést, ezt a hibát kihasználva tetszőleges shell parancsok futtathatóak az “ExternalIVR” alkalmazás művelettel.
    További információ az alábbi hivatkozás 1. pontjában taláható:
    CERT-Hungary CH-6755
    A sérülékenység sikeres kihasználásához szükséges, hogy a támadó hívásokat hajthasson végre.
  2. Egy peer nevében végrehajtott IAX2 hívások során fellépő hiba kihasználható bizonyos ACL (Access Control List) szabályok figyelmen kívül hagyására a hívás megkezdésekor.
    A sérülékenység sikeres kihasználásához szükséges, hogy a támadónak tudomása legyen egy olyan peer felhasználói fiókról, amely egy dinamikus Asterisk Realtime Architecture (ARA) háttérarchitektúrán lett definiálva.

Olvassa el a gyártó bejelentését az érintett termékek listájáért.

Megoldás

Telepítse a javítócsomagokat