The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Несколько удаленных уязвимостей в Asterisk PBX

27.08.2006 09:20 (MSK)

Вышла новая версия Asterisk 1.2.11, в которой устранено переполнение буфера в коде MGCP и ошибка форматирования строки (format-string) при передаче аргумента в Record(). Данные уязвимости позволяют удаленному злоумышленнику выполнить свой код на сервере.

Также выпущены обновленные версии пакетов Asterisk-Addons 1.2.4 и Zaptel 1.2.8.

  1. Главная ссылка к новости (http://www.asterisk.org/node/1...)
  2. OpenNews: Удаленное переполнение буфера в Asterisk. Выход версий 1.2.9.1 и 1.0.11.1.
  3. Multiple Vulnerabilities in Asterisk 1.2.10 [MU-200608-01]
  4. securityfocus.com: Asterisk Multiple Remote Vulnerabilities
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/8222-asterisk
Ключевые слова: asterisk, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (1) RSS
  • 1, Денис Смирнов (?), 15:43, 27/08/2006 [ответить]  
    		• +/
    Все куда интереснее.

    mgcp мало кто использует, поэтому эта ошибка в большинстве случаев просто не применима.

    А вот с app_record интереснее, там все хуже чем казалось на самом деле. Оказалось что в этом коде есть _ещё одна_ ошибка, и это уязвимость форматной строки, что, теоретически может быть использовано и для исполнения кода, а не только простой записи в произвольный файл.

    http://subscribe.ru/archive/comp.soft.others.asterisk/200608/27142639.html

    Digium пока не реагирует.

    Ну и, я надеюсь, никто не запускает Asterisk от рута? ;)

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру