漏洞信息详情
Asterisk cdr_addon_mysql插件SQL注入漏洞
- CNNVD编号:CNNVD-200710-318
- 危害等级: 高危
- CVE编号: CVE-2007-5488
- 漏洞类型: SQL注入
- 发布时间: 2007-10-17
- 威胁类型: 远程
- 更新时间: 2007-10-18
- 厂 商: asterisk
- 漏洞来源: Humberto Abdelnur ...
漏洞简介
Asterisk是开放源码的软件PBX,支持各种VoIP协议和设备。
Asterisk的cdr_addon_mysql模块实现上存在输入验证漏洞,远程攻击者可能利用此漏洞非授权操作数据库。
Asterisk的cdr_addon_mysql模块在插入记录时没有正确地转义指定呼叫的源和目标号码,发送给运行了该模块的Asterisk系统特制的目标号码可能导致SQL注入攻击。如果用户在使用实时数据的话,由于数据可能与插入呼叫记录处于同一数据库中,因此可能会导致各种数据破坏和失效等问题。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.asterisk.org/
参考网址
来源: XF
名称: asterisk-cdraddonmysql-sql-injection(37235)
链接:http://xforce.iss.net/xforce/xfdb/37235
来源: SECTRACK
名称: 1018824
链接:http://www.securitytracker.com/id?1018824
来源: BID
名称: 26095
链接:http://www.securityfocus.com/bid/26095
来源: SECUNIA
名称: 27278
链接:http://secunia.com/advisories/27278
来源: OSVDB
名称: 37880
链接:http://osvdb.org/37880
来源: FULLDISC
名称: 20071017 AST-2007-023: SQL Injection POC and details
链接:http://lists.grok.org.uk/pipermail/full-disclosure/2007-October/066744.HTML
来源: downloads.digium.com
链接:http://downloads.digium.com/pub/security/AST-2007-023.HTML
受影响实体
- Asterisk Asterisk-Addons:1.2.7
- Asterisk Asterisk-Addons:1.4.3
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论