漏洞信息详情

Digium Asterisk SIP请求用户枚举漏洞

• CNNVD编号：CNNVD-201106-361
• 危害等级： 中危
  
• CVE编号： CVE-2011-2536
• 漏洞类型： 信息泄露
• 发布时间： 1900-01-01
• 威胁类型： 远程
• 更新时间： 2011-07-07
• 厂        商： digium
• 漏洞来源：

漏洞简介

Digium Asterisk是美国Digium公司的一套开源的电话交换机（PBX）系统软件。该软件支持语音信箱、多方语音会议、交互式语音应答(IVR)等。

Asterisk Open Source 1.4.41.2之前的1.4.x版本，1.6.2.18.2之前的1.6.2.x版本和1.8.4.4之前的1.8.x版本，以及Asterisk Business Edition C.3.7.3之前的C.3.x版本的SIP信道驱动程序中的chan_sip.c忽视了alwaysauthreject选项并依据用户账户是否存在为无效SIP请求产生不同的响应。远程攻击者可借助一系列的请求枚举账户名称。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://downloads.asterisk.org/pub/security/AST-2011-010-1.4.diff

http://downloads.asterisk.org/pub/security/AST-2011-010-1.6.2.diff

http://downloads.asterisk.org/pub/security/AST-2011-010-1.8.diff

参考网址

来源: BID

名称: 48485

链接:http://www.securityfocus.com/bid/48485

来源: downloads.asterisk.org

链接:http://downloads.asterisk.org/pub/security/AST-2011-011.HTML

来源: downloads.asterisk.org

链接:http://downloads.asterisk.org/pub/security/AST-2011-011-1.8.diff

来源：NSFOCUS

名称：17151

链接：http://www.nsfocus.net/vulndb/17151

受影响实体

• Digium Asterisk:C.3.6.4:-:Business  
• Digium Asterisk:C.3.6.3:-:Business  
• Digium Asterisk:C.3.2.2:-:Business  
• Digium Asterisk:C.3.2.3:-:Business  
• Digium Asterisk:C.3.6.2:-:Business  

补丁

暂无