[分享] Asterisk-addons OOH323通道驱动远程拒绝服务漏洞

西布伦

Asterisk-addons OOH323通道驱动远程拒绝服务漏洞



受影响系统：
Asterisk Asterisk-Addons 1.4.x
Asterisk Asterisk-Addons 1.2.x

不受影响系统：
Asterisk Asterisk-Addons 1.4.7
Asterisk Asterisk-Addons 1.2.9

描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 29567
CVE(CAN) ID: CVE-2008-2543

Asterisk是开放源码的软件PBX，支持各种VoIP协议和设备。

Asterisk Addons所提供的ooh323通道驱动使用TCP连接内部传送命令，报文负载包括处理命令后所要释放的内存地址。如果远程攻击者向监听的TCP套接字发送了任意数据的话，由于命令处理器会试图释放无效的内存，因此可能导致崩溃。监听的TCP套接字绑定在ooh323.conf文件的bindaddr选项所指定的IP地址。

<*来源：Tzafrir Cohen （tzafrir.cohen@xorcom.com）
  
  链接：http://secunia.com/advisories/30555/
        http://marc.info/?l=bugtraq&m=121269118017166&w=2
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Asterisk
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.asterisk.org/