漏洞起因
异常条件处理失败错误
危险等级
低
影响系统
Asterisk 10.x
不受影响系统
危害
远程攻击者可以利用漏洞使应用程序崩溃。
攻击所需条件
攻击者必须访问Asterisk。
漏洞信息
Asterisk是一款开放源码的软件PBX,支持各种VoIP协议和设备。
如果在Off Hook消息之后处理Station Key Pad Button消息,通道驱动会不适当的引用空指针而造成系统崩溃。
拥有合法SCCP ID的用户利用此漏洞,当station在“Off Hook”呼叫状态下关闭到Asterisk的连接,可使服务器崩溃。
测试方法
厂商解决方案
Asterisk 10.5.1已经修复此漏洞,建议用户下载使用:
http://downloads.asterisk.org/
漏洞提供者
Christoph Hebeisen, TELUS Security Labs.
评论关闭。