Asterisk IAX2呼叫号码耗竭拒绝服务漏洞

2009-09-08T00:00:00
ID SSV:12243
Type seebug
Reporter Root
Modified 2009-09-08T00:00:00

Description

Asterisk是一款开放源码的软件PBX,支持各种VoIP协议和设备。 Asterisk不正确处理消息中的呼叫号码字段数据,远程攻击者可以利用漏洞对服务程序进行拒绝服务攻击。 IAX2协议使用呼叫号码关联相关的消息,但是协议定义消息中的呼叫号码字段仅为15位的固定大小字段。因此,如果所有呼叫号码使用完后,就无法处理更多的会话。 呼叫号码在IAX2消息交换开始时建立,攻击者可以发送大量消息,消耗完所有的呼叫号码空间。由于呼叫号码被指派前不需要三次握手处理,因此攻击者也可能使用伪造的源IP地址。

Asterisk 1.x Asterisk Business Edition 2.x 用户可参考如下升级程序或补丁: Asterisk Open Source 1.2.x: 升级到1.2.35或者采用补丁 http://downloads.asterisk.org/pub/security/AST-2009-006-1.2.diff.txt Asterisk Open Source 1.4.x: 升级到1.4.26.2或者采用补丁 http://downloads.asterisk.org/pub/security/AST-2009-006-1.4.diff.txt Asterisk Open Source 1.6.x: 升级到1.6.0.15或1.6.1.6,或者采用补丁 http://downloads.asterisk.org/pub/security/AST-2009-006-1.6.0.diff.txt http://downloads.asterisk.org/pub/security/AST-2009-006-1.6.1.diff.txt Asterisk Business Edition B.x.x: 升级到B.2.5.10. Asterisk Business Edition C.x.x: 升级到C.2.4.3或C.3.1.1. 升级到1.3.0.3.