Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
Asterisk
(1.0, 1.2, 1.2.28, 1.4, 1.4.19.1)
Описание
Уязвимость существует в драйвере канала IAX2 (chan_iax2) в Asterisk Open Source, Business Edition, AsteriskNOW, Appliance Developer Kit и s800i (при разрешенных вызовах без аутентификации) из-за отсутствия проверки соответствия номера вызова в ответе ACK ответу сервера на сообщение NEW. Эксплуатация данной уязвимости позволяет злоумышленникам, действующим удаленно, вызвать отказ в обслуживании (увеличение трафика) при помощи подмены ответа ACK, который не завершает процесс 3-этапного квитирования.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://downloads.asterisk.org/pub/security/AST-2008-006.html
http://downloads.asterisk.org/pub/security/AST-2008-006.html
Ссылки
Источник: CVE
Наименование: CVE-2008-1897
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1897
BID (28901): http://www.securityfocus.com/bid/28901
XF (asterisk-iax2protocol-ack-dos(41966)): http://xforce.iss.net/xforce/xfdb/41966
Наименование: CVE-2008-1897
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1897
BID (28901): http://www.securityfocus.com/bid/28901
XF (asterisk-iax2protocol-ack-dos(41966)): http://xforce.iss.net/xforce/xfdb/41966