发布日期:2012-03-16
更新日期:2012-03-19
受影响系统:
Asterisk Asterisk 10.x
Asterisk Asterisk 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 52523
Asterisk是一款实现电话用户交换机(PBX)功能的自由软件、开源软件。
Asterisk在实现上存在多个远程拒绝服务漏洞,远程攻击者可利用这些漏洞造成应用程序崩溃,拒绝服务合法用户并控制受影响系统。
1)在复制内部数据示例时, "milliwatt_generate()"函数(apps/app_milliwatt.c)中的Milliwatt应用中存在错误,通过特制的报文,可造成崩溃。
2)在处理 "HTTP Digest Authentication"信息时, "ast_parse_digest()"函数 (main/utils.c) 中存在错误,可通过超长的字符串造成栈缓冲器溢出。
<*来源:Russell Bryant (russell@digium.com)
链接:
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Asterisk
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: