Asterisk IAX2 (IAX) POKE 要求飽和資源耗盡遠端 DoS
medium Nessus Plugin ID 33576
語系:
概要
遠端 VoIP 服務容易遭受遠端拒絕服務攻擊。描述
遠端主機上執行的 Asterisk 版本在等待回應 PONG 封包的 ACK 封包時會佔用 IAX2 呼叫號碼。未經驗證的遠端攻擊者可藉由使用 POKE 要求造成受影響的服務溢流,從而利用此問題耗盡所有可用的呼叫號碼,並阻止合法的 IAX2 呼叫通過。解決方案
升級至 Asterisk Open Source 1.4.21.2/1.2.30、Asterisk Business Edition C.2.0.3/C.1.10.3/B.2.5.4、s800i (Asterisk Appliance) 1.2.0.1 或更新版本。另請參閱
http://downloads.digium.com/pub/security/AST-2008-010.html
https://www.securityfocus.com/archive/1/494675/30/0/threaded
Plugin 詳細資訊
嚴重性: Medium
ID: 33576
檔案名稱: asterisk_iax2_poke_exhaust.nasl
版本: 1.19
類型: remote
發布日期: 2008/7/25
更新日期: 2018/11/15
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: Medium
基本分數: 5
時間分數: 3.9
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
弱點資訊
CPE: cpe:/a:asterisk:asterisk
必要的 KB 項目: Services/udp/iax2
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2008/7/22
參考資訊
CVE: CVE-2008-3263
BID: 30321