Asterisk畸形SIP请求远程缓冲区溢出漏洞发布时间:2003-09-04 更新时间:2003-09-04 严重程度:高 威胁程度:远程管理员权限 错误类型:边界检查错误 利用方式:服务器模式 BUGTRAQ ID:8546 受影响系统 Asterisk Asterisk 0.1.7详细描述 Asterisk是一个运行于Linux之上的PBX系统,它对于SIP协议的实现存在可远程利用的溢出漏洞,远程攻击者可以通过发送超长的畸形SIP数据包引发溢出在主机上执行任意指令。虽然SIP协议支持认证操作,但MESSAGE和INFO消息是不需要认证的,因此攻击者很可能利用此漏洞攻击主机。 解决方案 厂商已经在最新的CVS版本中修补了此漏洞,请尽快更新: http://www.asterisk.org/ 相关信息 Asterisk SIP Implementation Issue http://www.atstake.com/research/advisories/2003/a090403-1.txt |
