Asterisk 'Milliwatt()'拒绝访问漏洞


发布日期:2012-03-16
更新日期:2012-03-19

受影响系统:
Asterisk Asterisk 10.x    
Asterisk Asterisk 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 52523

Asterisk是一款实现电话用户交换机(PBX)功能的自由软件、开源软件。

Asterisk在实现上存在多个远程拒绝服务漏洞,远程攻击者可利用这些漏洞造成应用程序崩溃,拒绝服务合法用户并控制受影响系统。

1)在复制内部数据示例时, "milliwatt_generate()"函数(apps/app_milliwatt.c)中的Milliwatt应用中存在错误,通过特制的报文,可造成崩溃。

2)在处理 "HTTP Digest Authentication"信息时, "ast_parse_digest()"函数 (main/utils.c) 中存在错误,可通过超长的字符串造成栈缓冲器溢出。

<*来源:Russell Bryant (russell@digium.com)
 
  链接:http://secunia.com/advisories/48417/
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Asterisk
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://downloads.asterisk.org/pub/security/

相关内容