Lucene search

K
seebugRootSSV:3715
HistoryJul 25, 2008 - 12:00 a.m.

Asterisk IAX2固件升级报文放大远程拒绝服务漏洞

2008-07-2500:00:00
Root
www.seebug.org
14

0.079 Low

EPSS

Percentile

93.6%

BUGTRAQ ID: 30350
CVE(CAN) ID: CVE-2008-3264

Asterisk是开放源码的软件PBX,支持各种VoIP协议和设备。

远程用户可以向Asterisk服务器请求发送部分的固件镜像,但固件下载协议没有初始化握手,可能伪造源地址。此外,对固件文件的IAX2 FWDOWNL请求可能仅为40字节,但生成1040字节的响应。如果向多个不同的Asterisk服务器提交了请求的话,就可以用大量固件报文对用户站点执行flood攻击。

Asterisk Asterisk 1.4.x
Asterisk Asterisk 1.2.x
Asterisk Asterisk 1.0.x
Asterisk Business Edition C.x.x
Asterisk Business Edition B.x.x
Asterisk Business Edition A.x.x
Asterisk AsteriskNOW
Asterisk Appliance Developer Kit 0.x.x
Asterisk s800i 1.0.x
临时解决方法:

  • 从目录删除固件镜像并重启Asterisk服务器。

厂商补丁:

Asterisk

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href=“http://www.asterisk.org/” target=“_blank”>http://www.asterisk.org/</a>