Asterisk Open Source拒绝服务漏洞

漏洞信息详情

Asterisk Open Source拒绝服务漏洞

• CNNVD编号：CNNVD-201201-364
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-0885
  
• 漏洞类型：
  
  
  资料不足
  
• 发布时间：
  
  2012-01-31
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-01-31
  
• 厂        商：
  
  asterisk
• 漏洞来源：

Digium Asterisk是美国Digium公司的一套开源的电话交换机（PBX）系统软件。该软件支持语音信箱、多方语音会议、交互式语音应答(IVR)等。

Asterisk Open Source 1.8.8.2之前的1.8.x版本和10.0.1之前的10.x版本的chan_sip.c中存在漏洞，该漏洞源于res_srtp模块的应用或未正确配置媒体支持。远程攻击者可利用该漏洞借助特制的具有加密属性的SDP消息和(1) 视频或(2)文本媒体类型，引发拒绝服务（空指针解引用进而守护进程崩溃）。该漏洞已被CSipSimple证实。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://downloads.asterisk.org/pub/security/AST-2012-001.html

来源: downloads.asterisk.org

链接:http://downloads.asterisk.org/pub/security/AST-2012-001-10.diff

来源: downloads.asterisk.org

链接:http://downloads.asterisk.org/pub/security/AST-2012-001-1.8.diff

来源: issues.asterisk.org

链接:https://issues.asterisk.org/jira/secure/attachment/42202/issueA19202_crypto_if_uninited_text_or_video.patch

来源: issues.asterisk.org

链接:https://issues.asterisk.org/jira/browse/ASTERISK-19202

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=783487

来源: MLIST

名称: [oss-security] 20120120 Re: CVE Request — Asterisk AST-2012-001 / Remote DoS while processing crypto line for media stream with non-existing RTP

链接:http://www.openwall.com/lists/oss-security/2012/01/20/18

来源: MLIST

名称: [oss-security] 20120120 CVE Request — Asterisk AST-2012-001 / Remote DoS while processing crypto line for media stream with non-existing RTP

链接:http://www.openwall.com/lists/oss-security/2012/01/20/16

来源: downloads.asterisk.org

链接:http://downloads.asterisk.org/pub/security/AST-2012-001.html

来源：NSFOCUS
名称：18859
链接：http://www.nsfocus.net/vulndb/18859