受影响系统:
Asterisk Asterisk 1.6.x
不受影响系统:
Asterisk Asterisk 1.6.2.5
Asterisk Asterisk 1.6.1.17
Asterisk Asterisk 1.6.0.25
描述:
Asterisk是开放源码的软件PBX,支持各种VoIP协议和设备。
如果使用了“/0”形式的无类别域间路由选择(CIDR)符号的话,则依赖于permit=和deny=的主机访问规则可能无法如预期运行,受限制的主机可以绕过限制非授权访问服务器。请注意即使利用这个漏洞绕过了访问限制,仍有一些认证措施来防范进一步的非授权访问。
<*来源:Mark Michelson (mmichelson@digium.com)
链接:http://secunia.com/advisories/38752/
http://marc.info/?l=bugtraq&m=126722047411664&w=2
*>
建议: 临时解决方法:
* 使用点分十进制格式(如/0.0.0.0)替换CIDR。
厂商补丁:
Asterisk
——–
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://downloads.asterisk.org/pub/security/AST-2010-003-1.6.0.diff1.6.0
http://downloads.asterisk.org/pub/security/AST-2010-003-1.6.1.diff1.6.1
http://downloads.asterisk.org/pub/security/AST-2010-003-1.6.2.diff1.6.2
0 条评论。