Asterisk-addons OOH323通道驱动远程拒绝服务漏洞
Asterisk-addons OOH323通道驱动远程拒绝服务漏洞受影响系统:
Asterisk Asterisk-Addons 1.4.x
Asterisk Asterisk-Addons 1.2.x
不受影响系统:
Asterisk Asterisk-Addons 1.4.7
Asterisk Asterisk-Addons 1.2.9
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 29567
CVE(CAN) ID: CVE-2008-2543
Asterisk是开放源码的软件PBX,支持各种VoIP协议和设备。
Asterisk Addons所提供的ooh323通道驱动使用TCP连接内部传送命令,报文负载包括处理命令后所要释放的内存地址。如果远程攻击者向监听的TCP套接字发送了任意数据的话,由于命令处理器会试图释放无效的内存,因此可能导致崩溃。监听的TCP套接字绑定在ooh323.conf文件的bindaddr选项所指定的IP地址。
<*来源:Tzafrir Cohen ([email]tzafrir.cohen@xorcom.com[/email])
链接:[url]http://secunia.com/advisories/30555/[/url]
[url]http://marc.info/?l=bugtraq&m=121269118017166&w=2[/url]
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Asterisk
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
[url]http://www.asterisk.org/[/url]
页:
[1]