漏洞信息详情
Asterisk IAX2认证响应信息泄露漏洞
- CNNVD编号:CNNVD-200901-170
- 危害等级: 中危
- CVE编号: CVE-2009-0041
- 漏洞类型: 信息泄露
- 发布时间: 2009-01-14
- 威胁类型: 远程
- 更新时间: 2009-05-12
- 厂 商: asterisk
- 漏洞来源: Tilghman Lesher tl...
漏洞简介
Asterisk是开放源码的软件PBX,支持各种VoIP协议和设备。
Asterisk IAX2在认证期间对用户不存在的情况和错误口令的情况提供了不同的响应,这允许攻击者通过扫描主机确定特定的用户。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://downloads.digium.com/pub/security/AST-2009-001-1.2.diff
http://downloads.digium.com/pub/security/AST-2009-001-1.4.diff
http://downloads.digium.com/pub/security/AST-2009-001-1.6.0.diff
参考网址
来源: BID
名称: 33174
链接:http://www.securityfocus.com/bid/33174
来源: SECTRACK
名称: 1021549
链接:http://www.securitytracker.com/id?1021549
来源: BUGTRAQ
名称: 20090108 AST-2009-001: Information leak in IAX2 authentication
链接:http://www.securityfocus.com/archive/1/archive/1/499884/100/0/threaded
来源: VUPEN
名称: ADV-2009-0063
链接:http://www.frsirt.com/english/advisories/2009/0063
来源: SREASON
名称: 4910
链接:http://securityreason.com/securityalert/4910
来源: GENTOO
名称: GLSA-200905-01
链接:http://security.gentoo.org/glsa/glsa-200905-01.xml
来源: SECUNIA
名称: 34982
链接:http://secunia.com/advisories/34982
来源: SECUNIA
名称: 33453
链接:http://secunia.com/advisories/33453
来源: downloads.digium.com
链接:http://downloads.digium.com/pub/security/AST-2009-001.HTML
受影响实体
- Asterisk S800i_appliance:1.2
- Asterisk Asterisk_business_edition:C.1.0:Beta8
- Asterisk Asterisk_business_edition:C.1.0:Beta7
- Asterisk Asterisk_business_edition:B.2.5.2
- Asterisk Asterisk_business_edition:B.1.3.2
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论