发布日期:2012-04-23
更新日期:2012-04-24
受影响系统:
Asterisk Asterisk 10.x
Asterisk Asterisk 1.x
不受影响系统:
Asterisk Asterisk 10.3.1
Asterisk Asterisk 1.8.11.1
Asterisk Asterisk 1.6.2.24
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 53210
CVE(CAN) ID: CVE-2012-2415
Asterisk是一款实现电话用户交换机(PBX)功能的自由软件、开源软件。
Asterisk在Skinny通道驱动程序的实现上存在安全漏洞,由于没有检查缓冲区的长度,攻击者可发送大量的KEYPAD_BUTTON_MESSAGE事件,导致缓冲区溢出。
<*来源:Russell Bryant (russell@digium.com)
链接:
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Asterisk
--------
Asterisk已经为此发布了一个安全公告(AST-2012-005)以及相应补丁:
AST-2012-005:Heap Buffer Overflow in Skinny Channel Driver