Asterisk 多個漏洞
最後更新
2012年04月24日 11:20
發佈日期:
2012年04月24日
2315
觀看次數
風險: 中度風險
類型: 伺服器 - 其他伺服器
在 Asterisk 發現多個漏洞,遠端授權的使用者可利用漏洞,在目標系統上執行任意程式碼, 導致阻斷服務情況,及在Asterisk Manager介面執行任意shell指令。
- 遠端使用者可透過傳送特製的 SIP UPDATE 請求導致 Asterisk 執行一個沒有關聯的連接線更新並終止。
- 遠端使用者可透過傳送特製的 KEYPAD_BUTTON_MESSAGE 事件資料觸發在 Skinny Channel 驅動程式產生堆滿溢及在目標系統上執行任意程式碼。此程式碼目標服務的權限下執行。
- 遠端使用者可在 Asterisk Manager 介面繞過保安檢查及執行shell指令。
影響
- 阻斷服務
- 遠端執行程式碼
受影響之系統或技術
- Asterisk Open Source 版本1.6.2.x, 1.8x, 10.x
- Asterisk Business Edition 版本 C.3.x
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- Asterisk Open Source - 更新至版本 1.6.2.24,1.8.11.1, 10.3.1
- Asterisk Business Edition - 更新至版本 C.3.7.4
漏洞識別碼
資料來源
相關連結
分享至