Asterisk CallerID电话详细记录SQL注入漏洞

漏洞信息详情

Asterisk CallerID电话详细记录SQL注入漏洞

• CNNVD编号：CNNVD-200309-030
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2003-0779
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2003-09-22
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-08-23
  
• 厂        商：
  
  digium
• 漏洞来源：
  @stake advisories※…

Asterisk是一款PBX系统的软件，运行在Linux系统上，支持使用SIP，IAX，H323协议进行IP通话。
Call Detail Records (CDRs)在日志记录功能中对CallerID字符传缺少充分检查，远程攻击者可以利用这个漏洞操作Asterisk数据库信息。
Call Detail Records (CDRs)是由电话系统生成的为了执行帐单和费率功能的数据库系统。其中包含多个字段可以鉴别用户信息，如源和目的打电话地址，CallerID等信息。由于对CallerID的字符串缺少充分过滤，如果攻击者提交畸形CallerID的字符串(包含SQL命令)可导致更改原系统的SQL逻辑，破坏数据库系统或获得数据库敏感信息。

厂商补丁：
Asterisk
——–
CVS as of September 9, 2003已经修补这个漏洞：

http://www.asterisk.org/” target=”_blank”>
http://www.asterisk.org/

来源: ATSTAKE
名称: A091103-1
链接:http://www.atstake.com/research/advisories/2003/a091103-1.txt