Asterisk main/utils.c ast_uri_encode() CallerID 資訊溢位 (AST-2011-001)

medium Nessus Plugin ID 51644

概要

遠端主機上執行的 Asterisk 版本包含一個緩衝區溢位弱點。

說明

利用特製的呼叫者 ID 字串,透過遠端 Asterisk 伺服器撥出電話之經驗證的使用者,可造成緩衝區溢位,進而導致應用程式損毀或執行任意程式碼。

若想成功惡意利用此問題,可能需要在啟用 'pedantic' 選項的情況下,設定 SIP 通道驅動程式。

解決方案

升級至 Asterisk 1.4.38.1 / 1.4.39.1 / 1.6.1.21 / 1.6.2.15.1 / 1.6.2.16.1 / 1.8.1.2 / 1.8.2.2、Asterisk Business Edition C.3.6.2 或更新版本。

另請參閱

http://downloads.asterisk.org/pub/security/AST-2011-001.html

Plugin 詳細資訊

嚴重性: Medium

ID: 51644

檔案名稱: asterisk_ast_2011_001.nasl

版本: 1.18

類型: remote

已發布: 2011/1/21

已更新: 2022/4/11

組態: 啟用 Paranoid 模式, 啟用徹底檢查

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.5

時間分數: 4.8

媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

弱點資訊

CPE: cpe:/a:digium:asterisk

必要的 KB 項目: Settings/ParanoidReport, asterisk/sip_detected

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2011/1/18

弱點發布日期: 2011/1/11

參考資訊

CVE: CVE-2011-0495

BID: 45839

SECUNIA: 42935