ZeroBox Vulnerability Database

漏洞起因
设计错误
危险等级
低
 
影响系统
Asterisk Asterisk 1.8.4 2
 Asterisk Asterisk 1.8.4 1
 Asterisk Asterisk 1.8.2 4
 Asterisk Asterisk 1.8.1
 Asterisk Asterisk 1.8
 Asterisk Asterisk 1.6.2 16.2
 Asterisk Asterisk 1.6.2 .5
 Asterisk Asterisk 1.6.2
 Asterisk Asterisk 1.4.39 2
 Asterisk Asterisk 1.4.27 1
 Asterisk Asterisk 1.4.26 .3
 Asterisk Asterisk 1.4.26
 Asterisk Asterisk 1.4.24 .1
 Asterisk Asterisk 1.4.24
 Asterisk Asterisk 1.4.23 .2
 Asterisk Asterisk 1.4.23 .1
 Asterisk Asterisk 1.4.23
 Asterisk Asterisk 1.4.22
 Asterisk Asterisk 1.4.19 .1
 Asterisk Asterisk 1.4.19 -rc3
 Asterisk Asterisk 1.4.19
 Asterisk Asterisk 1.4.18
 Asterisk Asterisk 1.4.17
 Asterisk Asterisk 1.4.16
 Asterisk Asterisk 1.4.15
 Asterisk Asterisk 1.4.14
 Asterisk Asterisk 1.4.13
 Asterisk Asterisk 1.4.12
 Asterisk Asterisk 1.4.11
 Asterisk Asterisk 1.4.10
 Asterisk Asterisk 1.4.9
 Asterisk Asterisk 1.4.8
 Asterisk Asterisk 1.4.7
 Asterisk Asterisk 1.4.6
 Asterisk Asterisk 1.4.5
 Asterisk Asterisk 1.4.4
 Asterisk Asterisk 1.4.3
 Asterisk Asterisk 1.4.2
 Asterisk Asterisk 1.4.1
 Asterisk Asterisk 1.8.3.3
 Asterisk Asterisk 1.8.3.1
 Asterisk Asterisk 1.8.2.1
 Asterisk Asterisk 1.8.1.2
 Asterisk Asterisk 1.6.2.2
 Asterisk Asterisk 1.6.2.17.3
 Asterisk Asterisk 1.6.2.17.1
 Asterisk Asterisk 1.6.2.16.1
 Asterisk Asterisk 1.6.2.15.1
 Asterisk Asterisk 1.4.39.1
 Asterisk Asterisk 1.4.38.1
 Asterisk Asterisk 1.4.26.2
 Asterisk Asterisk 1.4.26.1
 Asterisk Asterisk 1.4.22.1
 Asterisk Asterisk 1.4.21.2
 Asterisk Asterisk 1.4.18.1
 Asterisk Asterisk 1.4 revision 95946
 Asterisk Asterisk 1.4 Beta
 Asterisk Asterisk 1.4.40.1
 
不受影响系统
Asterisk Asterisk Business Edition C.3.7.3
 Asterisk Asterisk 1.8.4.3
 Asterisk Asterisk 1.6.2.18.1
 Asterisk Asterisk 1.4.41.1
 
危害
远程攻击者可以利用漏洞使服务程序崩溃。
 
攻击所需条件
攻击者必须访问Asterisk。
 
漏洞信息
Asterisk是一款开放源码的软件PBX，支持各种VoIP协议和设备。
Asterisk存在多个安全漏洞，允许恶意攻击者对应用进行拒绝服务攻击。
-当处理包含空字节的请求时"sipsock_read()"(channels/chan_sip.c)函数存在输入验证错误，攻击者发送特制的SIP报文可破坏内存使应用崩溃。
-"get_in_brackets_full()"函数(channels/sip/reqresp_parser.c)存在空指针应用错误，提交特制SIP "Contact"头数据的请求可使服务程序崩溃。
-"iax2_setoption()"函数中的IAX2通道驱动(channels/chan_iax2.c)存在输入验证错误，通过提交特制的选项控制帧可触发非法指针访问，造成服务程序崩溃。
 
测试方法
 
厂商解决方案
用户可联系供应商获得最新的程序修复此漏洞：
http://downloads.asterisk.org/
 
漏洞提供者
Paul Belanger. jaredmauch, Asterisk