Érintett rendszerek
AsteriskAsterisk Business Edition
Digium
Érintett verziók
Digium Asterisk 1.x
Digium Asterisk Business Edition 2.x
Összefoglaló
Egy sérülékenységet jelentettek az Asterisk rendszerben, amelyet a támadók kihasználhatnak érvényes felhasználónevek felfedéséhez.
Leírás
Egy sérülékenységet jelentettek az Asterisk rendszerben, amelyet a támadók kihasználhatnak érvényes felhasználónevek felfedéséhez.
A probléma az, hogy érvényes vagy érvénytelen felhasználóneveket tartalmazó REGISTER üzenetek esetén, különböző válaszüzenetek érkeznek vissza. Speciálisan elkészített REGISTER üzenet segítségével a sérülékenység kihasználható érvényes felhasználónevek kiderítéséhez.
Megoldás
Asterisk Open Source:
Frissítsen a 1.2.35, 1.4.26.3, 1.6.0.17, vagy a 1.6.19 verzióra vagy használja a javításokat.
http://downloads.digium.com/pub/asa/AST-2009-008-1.2.diff.txt
http://downloads.digium.com/pub/asa/AST-2009-008-1.4.diff.txt
http://downloads.digium.com/pub/asa/AST-2009-008-1.6.0.diff.txt
http://downloads.digium.com/pub/asa/AST-2009-008-1.6.1.diff.txt
Asterisk Business Edition:
Frissítsen a B.2.5.12, C.2.4.5, vagy a C.3.2.2 verzióra.
S800i (Asterisk Appliance):
Frissítsen a 1.3.0.5 verzióra.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: downloads.asterisk.org
CVE-2009-3727 - NVD CVE-2009-3727
SECUNIA 37265