Asterisk是一款开放源码的软件PBX,支持各种VoIP协议和设备。
Asterisk不正确处理消息中的呼叫号码字段数据,远程攻击者可以利用漏洞对服务程序进行拒绝服务攻击。
IAX2协议使用呼叫号码关联相关的消息,但是协议定义消息中的呼叫号码字段仅为15位的固定大小字段。因此,如果所有呼叫号码使用完后,就无法处理更多的会话。
呼叫号码在IAX2消息交换开始时建立,攻击者可以发送大量消息,消耗完所有的呼叫号码空间。由于呼叫号码被指派前不需要三次握手处理,因此攻击者也可能使用伪造的源IP地址。
Asterisk 1.x
Asterisk Business Edition 2.x
用户可参考如下升级程序或补丁:
Asterisk Open Source 1.2.x:
升级到1.2.35或者采用补丁
http://downloads.asterisk.org/pub/security/AST-2009-006-1.2.diff.txt
Asterisk Open Source 1.4.x:
升级到1.4.26.2或者采用补丁
http://downloads.asterisk.org/pub/security/AST-2009-006-1.4.diff.txt
Asterisk Open Source 1.6.x:
升级到1.6.0.15或1.6.1.6,或者采用补丁
http://downloads.asterisk.org/pub/security/AST-2009-006-1.6.0.diff.txt
http://downloads.asterisk.org/pub/security/AST-2009-006-1.6.1.diff.txt
Asterisk Business Edition B.x.x:
升级到B.2.5.10.
Asterisk Business Edition C.x.x:
升级到C.2.4.3或C.3.1.1.
升级到1.3.0.3.
京公网安备 11010502034610号
暂无评论