漏洞信息详情

Asterisk 'chan_skinny.c'远程缓冲区溢出漏洞

  • CNNVD编号:CNNVD-200610-381
  • 危害等级: 高危
  • CVE编号: CVE-2006-5444
  • 漏洞类型: 缓冲区溢出
  • 发布时间: 2006-10-23
  • 威胁类型: 远程
  • 更新时间: 2013-01-10
  • 厂        商: digium
  • 漏洞来源: Adam Boileau※ adam...

漏洞简介

Asterisk是一款PBX系统的软件,运行在Linux系统上,支持使用SIP、IAX、H323协议进行IP通话。

Asterisk的chan_skinny.c文件中的static int get_input(struct skinnysession *s)函数没有正确地验证报文头中用户所提供的长度。远程攻击者可以通过发送特制报文来触发缓冲区溢出漏洞,导致执行任意指令。

漏洞公告

临时解决方法:

* 禁用chan_skinny模块。

* 在防火墙过滤2000/tcp端口上的通讯。

Gentoo已经为此发布了一个安全公告(GLSA-200610-15)以及相应补丁:

GLSA-200610-15:Asterisk: Multiple vulnerabilities

链接:

http://security.gentoo.org/glsa/glsa-200610-15.xml

所有Asterisk用户都应升级到最新版本:

# emerge --sync

# emerge --ask --oneshot --verbose ">=net-misc/asterisk-1.2.13"

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.asterisk.org/

参考网址

来源: VU#521252

名称: VU#521252

链接:http://www.kb.cert.org/vuls/id/521252

来源: BID

名称: 20617

链接:http://www.securityfocus.com/bid/20617

来源: BUGTRAQ

名称: 20061018 Security-Assessment.com Advisory: Asterisk remote heap overflow

链接:http://www.securityfocus.com/archive/1/archive/1/449127/100/0/threaded

来源: VUPEN

名称: ADV-2006-4097

链接:http://www.frsirt.com/english/advisories/2006/4097

来源: www.asterisk.org

链接:http://www.asterisk.org/node/109

来源: SECTRACK

名称: 1017089

链接:http://securitytracker.com/id?1017089

来源: SECUNIA

名称: 22480

链接:http://secunia.com/advisories/22480

来源: ftp.digium.com

链接:http://ftp.digium.com/pub/asterisk/releases/ChangeLog-1.2.13

来源: ftp.digium.com

链接:http://ftp.digium.com/pub/asterisk/releases/ChangeLog-1.0.12

来源: OPENPKG

名称: OpenPKG-SA-2006.024

链接:http://www.securityfocus.com/archive/1/archive/1/449183/100/0/threaded

来源: XF

名称: asterisk-getinput-code-execution(29663)

链接:http://xforce.iss.net/xforce/xfdb/29663

来源: DEBIAN

名称: DSA-1229

链接:http://www.us.debian.org/security/2006/dsa-1229

来源: OSVDB

名称: 29972

链接:http://www.osvdb.org/29972

来源: SUSE

名称: SUSE-SA:2006:069

链接:http://www.novell.com/linux/security/advisories/2006_69_asterisk.html

来源: GENTOO

名称: GLSA-200610-15

链接:http://www.gentoo.org/security/en/glsa/glsa-200610-15.xml

来源: SECUNIA

名称: 23212

链接:http://secunia.com/advisories/23212

来源: SECUNIA

名称: 22979

链接:http://secunia.com/advisories/22979

来源: SECUNIA

名称: 22651

链接:http://secunia.com/advisories/22651

来源: FULLDISC

名称: 20061018 Asterisk remote heap overflow

链接:http://lists.grok.org.uk/pipermail/full-disclosure/2006-October/050171.html

补丁

    暂无

漏洞信息快速查询

相关漏洞

更多