漏洞起因
输入验证错误
危险等级
低
影响系统
Asterisk Asterisk 1.8.2 4
Asterisk Asterisk 1.8.1
Asterisk Asterisk 1.8
Asterisk Asterisk 1.6.2 16.2
Asterisk Asterisk 1.6.2 .5
Asterisk Asterisk 1.6.2
Asterisk Asterisk 1.6.1 22
Asterisk Asterisk 1.6.1 11
Asterisk Asterisk 1.6.1 0-rc2
Asterisk Asterisk 1.6.1 0-rc1
Asterisk Asterisk 1.6.1 .9
Asterisk Asterisk 1.6.1 .6
Asterisk Asterisk 1.6.1 .5
Asterisk Asterisk 1.6.1 .17
Asterisk Asterisk 1.6.1
Asterisk Asterisk 1.8.2.1
Asterisk Asterisk 1.8.1.2
Asterisk Asterisk 1.8
Asterisk Asterisk 1.6.2.2
Asterisk Asterisk 1.6.2.16.1
Asterisk Asterisk 1.6.2.15.1
Asterisk Asterisk 1.6.1.8
Asterisk Asterisk 1.6.1.7
Asterisk Asterisk 1.6.1.21
Asterisk Asterisk 1.6.1.14
不受影响系统
Asterisk Asterisk 1.8.3.1
Asterisk Asterisk 1.6.2.17.1
Asterisk Asterisk 1.6.1.23
危害
远程攻击者可以利用漏洞应用程序崩溃。
攻击所需条件
攻击者必须访问Asterisk。
漏洞信息
Asterisk是一款开放源码的软件PBX,支持各种VoIP协议和设备。
Asterisk存在安全漏洞,允许攻击者进行拒绝服务攻击。
-快速打开管理连接,发送非法数据,并关闭连接,可导致Asterisk消耗大量CPU和内存资源。默认管理接口禁用。
-快速打开和关闭使用ast_tcptls_* API服务(主要由chan_sip, manager和res_phoneprov使用)的TCP连接,可导致main/tcptls.c中的"handle_tcptls_connection()"函数引用空指针而使Asterisk崩溃。
测试方法
厂商解决方案
Asterisk 1.8.3.1,1.6.2.17.1和1.6.1.23已经修复此漏洞,建议用户下载使用:
http://www.asterisk.org/
漏洞提供者
Blake Cornell
0 条评论。