Asterisk vmail.cgi目录遍历漏洞

漏洞信息详情

Asterisk vmail.cgi目录遍历漏洞

• CNNVD编号：CNNVD-200511-177
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2005-3559
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  2005-11-16
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-08-23
  
• 厂        商：
  
  digium
• 漏洞来源：

Asterisk是一款PBX系统的软件，运行在Linux系统上，支持使用SIP、IAX、H323协议进行IP通话。

Asterisk 1.0.9 直到 1.2.0-beta1 版本中，vmail.cgi 存在目录遍历漏洞，这会允许远程攻击者在目录参数中加入\”..\”(参数中包含\’\’..\’\’)来访问WAV文件。

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.asterisk.org/

来源: VUPEN

名称: ADV-2005-2346

链接:http://www.frsirt.com/english/advisories/2005/2346

来源: XF

名称: asterisk-vmail-obtain-information(23002)

链接:http://xforce.iss.net/xforce/xfdb/23002

来源: BID

名称: 15336

链接:http://www.securityfocus.com/bid/15336

来源: BUGTRAQ

名称: 20051107 Asterisk vmail.cgi vulnerability

链接:http://www.securityfocus.com/archive/1/archive/1/415990/30/0/threaded

来源: DEBIAN

名称: DSA-1048

链接:http://www.debian.org/security/2006/dsa-1048

来源: MISC

链接:http://www.assurance.com.au/advisories/200511-asterisk.txt

来源: SECTRACK

名称: 1015164

链接:http://securitytracker.com/id?1015164

来源: SECUNIA

名称: 19872

链接:http://secunia.com/advisories/19872

来源: SECUNIA

名称: 17459

链接:http://secunia.com/advisories/17459

来源: OSVDB

名称: 20577

链接:http://osvdb.org/20577