设为主页 收藏  
 
  首 页 新闻报道 安全产品 解决方案 技术支持 成功案例 试用&购买 关于我们  
  新闻报道 当前位置:安全公告 >> Asterisk IAX2报文括大远程拒绝服务漏洞  
     
  Asterisk IAX2报文括大远程拒绝服务漏洞  
 

漏洞名称
Asterisk IAX2报文括大远程拒绝服务漏洞

漏洞发布日期
2008-4-23

受影响系统
Asterisk Asterisk 1.0.x
Asterisk Asterisk 1.2.x
Asterisk Asterisk 1.4.x
Asterisk AsteriskNOW 1.0.x
Asterisk Business Edition A.x.x
Asterisk Business Edition B.x.x
Asterisk Business Edition C.x.x
Asterisk Appliance Developer Kit 0.x.x
Asterisk s800i 1.0.x

不受影响系统
Asterisk Asterisk 1.2.28
Asterisk Asterisk 1.4.20
Asterisk Business Edition B.2.5.2
Asterisk Business Edition C.1.8.1
Asterisk AsteriskNOW 1.0.3
Asterisk s800i 1.1.0.3

漏洞描述
Asterisk是一款开放源码的软件PBX,支持各种VoIP协议和设备。

由于UDP可以伪造,因此可以导致报文放大目标,造成拒绝服务攻击。

IAX2协议允许IC_NEW报文启动呼叫。这个UDP报文只有18字节长,而呼叫可能很长,包含有很多数据。由于UDP是可以伪造的,因此远程攻击者可以诱使asterisk服务器可被发送每秒M的字节到任意目标,导致Asterisk服务器向目标发送大量数据,造成网络堵塞。

信息来源
Tilghman Lesher

相关链接
http://secunia.com/advisories/29927/
 http://bugs.digium.com/print_bug_page.php?bug_id=10078

https://www.altsci.com/concepts/page.php?s=asteri&p=2
 http://marc.info/?l=bugtraq&m=120896337203016&w=2

下一页:
 
 
  新闻报道  
  Newsletter  
  安全公告  
 
2008 eEye Incorporated

Copyright © 2008 ™ [eEye中国].All Rights Reserved.
电话:(010)-59937000-8136 传真:(010)-82652880 客服:eEye@pcstars.com.cn
Eeye中国官方网站