Asterisk Record()文件名目录遍历漏洞

漏洞信息详情

Asterisk Record()文件名目录遍历漏洞

• CNNVD编号：CNNVD-200608-411
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2006-4346
  
• 漏洞类型：
  
  
  格式化字符串
  
• 发布时间：
  
  2006-08-24
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-09-19
  
• 厂        商：
  
  digium
• 漏洞来源：
  Mu Security

Asterisk是一款PBX系统的软件，运行在Linux系统上，支持使用SIP、IAX、H323协议进行IP通话。

Asterisk在处理发送给Record()应用的文件名时存在漏洞，可能允许攻击者通过目录遍历技术发送格式字符串导致执行任意代码。但是，这个漏洞影响较小，因为必须要求管理员使用客户端控制的变量做为文件名的一部分。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://security.gentoo.org/glsa/glsa-200610-15.xml

http://ftp.digium.com/pub/asterisk/asterisk-1.2.11-patch.gz

来源: BID

名称: 19683

链接:http://www.securityfocus.com/bid/19683

来源: SECTRACK

名称: 1016742

链接:http://securitytracker.com/id?1016742

来源: MISC

链接:http://labs.musecurity.com/advisories/MU-200608-01.txt

来源: XF

名称: asterisk-record-code-execution(28544)

链接:http://xforce.iss.net/xforce/xfdb/28544

来源: www.sineapps.com

链接:http://www.sineapps.com/news.php?rssid=1448

来源: BUGTRAQ

名称: 20060825 Multiple Vulnerabilities in Asterisk 1.2.10 (Fixed in 1.2.11)

链接:http://www.securityfocus.com/archive/1/archive/1/444322/100/0/threaded

来源: VUPEN

名称: ADV-2006-3372

链接:http://www.frsirt.com/english/advisories/2006/3372

来源: XF

名称: asterisk-record-directory-traversal(28564)

链接:http://xforce.iss.net/xforce/xfdb/28564

来源: GENTOO

名称: GLSA-200610-15

链接:http://www.gentoo.org/security/en/glsa/glsa-200610-15.xml

来源: SECUNIA

名称: 22651

链接:http://secunia.com/advisories/22651