• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Внедрение строк

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Asterisk (1.2, 1.4, 1.6.0, 1.6.1, 1.6.2)
Описание
Уязвимость в схеме работы диалплана (плана набора) в Asterisk Open Source и Asterisk Business Edition (при использовании переменной канала ${EXTEN} и групповых символов) позволяет атакующим внедрить строки в диалплан, используя метасимволы, внедряемые при вычислении (расширении) переменной; как, например, при использовании приложения Dial для обработки специально сформированного сообщения SIP INVITE, которое добавляет непредусмотренное плечо исходящего канала.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://downloads.asterisk.org/pub/security/AST-2010-002.html
Ссылки
Источник: CVE
Наименование: CVE-2010-0685
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0685

XF (asterisk-dial-weak-security(56397)): http://xforce.iss.net/xforce/xfdb/56397
http://downloads.asterisk.org/pub/security/AST-2010-002.html