The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление Asterisk 13.14.1 и 14.3.1 с устранением удалённой уязвимости

04.04.2017 23:57

В корректирующих выпусках коммуникационной платформы Asterisk 13.14.1 и 14.3.1 устранена уязвимость, позволяющая потенциально организовать выполнение кода на сервере. Уязвимость вызвана отсутствием проверки длины при записи в CDR (Call Detail Record) поля с параметрами пользователя, что позволяет передать слишком длинную строку, хвост которой будет записан за пределами выделенного буфера.

Проблеме подвержены системы, использующие CDR в сочетании с канальным драйвером chan_sip с включенной опцией 'useclientcode' (атака может быть совершена через заголовок 'X-ClientCode' в сообщении SIP INFO). Также атака может быть совершена при вызове CDR dialplan из AMI или при использовании AMI Monitor через создание длинного файлового пути.

  1. Главная ссылка к новости (http://www.mail-archive.com/as...)
  2. OpenNews: Релиз коммуникационной платформы Asterisk 14
  3. OpenNews: Критические уязвимости в PostgreSQL, BIND, ядре Linux и Asterisk
  4. OpenNews: Вышел AsteriskNOW 3.0, Linux-дистрибутив для развёртывания систем телефонии
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46318-asterisk
Ключевые слова: asterisk
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (1) RSS
  • 1, edo (ok), 22:04, 05/04/2017 [ответить]  
  • +4 +/
    > уязвимость, позволяющая потенциально организовать выполнение кода на сервере
    > с включенной опцией 'useclientcode'

    прямо-таки самодокументирующееся название у опции ("как корабль назовёшь, так он и поплывёт")

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру