![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Publicerad
SR11-007 Asterisk - Sårbar för buffertöverflödning
Sårbarhet kan medge kodexekvering i autentiserad session.
Problembeskrivning
CVE-referens:-
Matthew Nicholson har upptäckt en sårbarhet i PBX-applikationen Asterisk. Sårbarheten som är av typen buffertöverflödning kan utnyttjas av en angripare för att exekvera godtycklig kod.
Sårbarheten beror på en otillräcklig hantering av "caller ID"-information när applikationen skapar utgående SIP-förfrågningar. Sårbarheten påverkar även funktionen URIENCODE samt i vissa versioner AGI.
Sårbarheten är åtgärdad i Asterisk Open Source version 1.4.38.1, 1.4.39.1, 1.6.1.21, 1.6.2.15.1, 1.6.2.16.1, 1.8.1.2 och 1.8.2.1 samt Asterisk Business Edition version C.3.6.2.
Påverkade versioner
- Asterisk Open Source 1.2.x
- Asterisk Open Source 1.4.x
- Asterisk Open Source 1.6.x
- Asterisk Open Source 1.8.x
- Asterisk Business Edition C.x.x
- AsteriskNOW 5
- s800i (Asterisk Appliance) 1.2.x
Mer information och programrättningar
http://downloads.asterisk.org/pub/security/AST-2011-001.html