The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Обновление Asterisk 13.14.1 и 14.3.1 с устранением удалённой..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Asterisk 13.14.1 и 14.3.1 с устранением удалённой..."  +/
Сообщение от opennews (ok) on 05-Апр-17, 22:04 
В корректирующих выпусках коммуникационной платформы  Asterisk 13.14.1 и 14.3.1 устранена уязвимость (http://downloads.asterisk.org/pub/security/AST-2017-001.html), позволяющая потенциально организовать выполнение кода на сервере. Уязвимость вызвана отсутствием проверки длины при записи в CDR (Call Detail Record) поля с параметрами пользователя, что позволяет передать слишком длинную строку, хвост которой будет записан за пределами выделенного буфера.


Проблеме подвержены системы, использующие CDR в сочетании с канальным драйвером chan_sip с включенной опцией 'useclientcode' (атака может быть совершена через заголовок 'X-ClientCode'  в сообщении SIP INFO). Также атака может быть совершена при вызове CDR dialplan из  AMI или при использовании  AMI Monitor через создание длинного файлового пути.


URL: http://www.mail-archive.com/asterisk-announce@lists.dig...
Новость: https://www.opennet.ru/opennews/art.shtml?num=46318

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Asterisk 13.14.1 и 14.3.1 с устранением удалённой..."  +4 +/
Сообщение от edo (ok) on 05-Апр-17, 22:04 
> уязвимость, позволяющая потенциально организовать выполнение кода на сервере
> с включенной опцией 'useclientcode'

прямо-таки самодокументирующееся название у опции ("как корабль назовёшь, так он и поплывёт")

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру