漏洞信息详情
Asterisk认证SIP响应用户名枚举漏洞
- CNNVD编号:CNNVD-200809-055
- 危害等级: 中危
- CVE编号: CVE-2008-3903
- 漏洞类型: 信息泄露
- 发布时间: 2008-09-04
- 威胁类型: 远程
- 更新时间: 2009-05-12
- 厂 商: asterisk
- 漏洞来源: Tilghman Lesher※ t...
漏洞简介
Asterisk是开放源码的软件PBX,支持各种VoIP协议和设备。
如果启用了Digest认证的话,Asterisk PBX对登录期间所尝试的有效和无效SIP用户名会返回不同的响应,远程攻击者可以通过暴力猜测枚举出有效的用户名。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://downloads.digium.com/pub/asa/AST-2009-003-1.2.diff.txt
http://downloads.digium.com/pub/asa/AST-2009-003-1.4.diff.txt
http://downloads.digium.com/pub/asa/AST-2009-003-1.6.0.diff.txt
http://downloads.digium.com/pub/asa/AST-2009-003-1.6.1.diff.txt
参考网址
来源: XF
名称: asterisk-username-info-disclosure(45059)
链接:http://xforce.iss.net/xforce/xfdb/45059
来源: VUPEN
名称: ADV-2009-0933
链接:http://www.vupen.com/english/advisories/2009/0933
来源: BID
名称: 34353
链接:http://www.securityfocus.com/bid/34353
来源: GENTOO
名称: GLSA-200905-01
链接:http://security.gentoo.org/glsa/glsa-200905-01.xml
来源: SECUNIA
名称: 34982
链接:http://secunia.com/advisories/34982
来源: MISC
链接:http://misel.com/?p=52
来源: downloads.asterisk.org
链接:http://downloads.asterisk.org/pub/security/AST-2009-003.HTML
受影响实体
- Asterisk P_b_x:1.2
- Asterisk P_b_x:1.2.22
- Asterisk P_b_x:1.4.21.1
- Asterisk P_b_x:1.6
补丁
暂无
评论