漏洞信息详情
Digium Asterisk SIP注册响应用户枚举漏洞
- CNNVD编号:CNNVD-200911-119
- 危害等级: 低危
- CVE编号: CVE-2009-3727
- 漏洞类型: 信息泄露
- 发布时间: 2009-11-10
- 威胁类型: 远程
- 更新时间: 2009-11-10
- 厂 商: digium
- 漏洞来源: Joshua Colp jcol...
漏洞简介
Asterisk是开放源码的软件PBX,支持各种VoIP协议和设备。 Asterisk Open Source 1.2.35之前的1.2.x版本,1.4.26.3之前的1.4.x版本,1.6.0.17之前的1.6.0.x版本,以及1.6.1.9之前的1.6.1.x版本;Business Edition A.x.x,B.2.5.12之前的B.x.x版本,C.2.4.5之前的C.2.x.x版本,C.3.2.2之前的C.3.x.x版本;AsteriskNOW 1.5,1.3.0.5之前的s800i 1.3.x版本中存在SIP注册响应用户枚举漏洞。由于Asterisk依据SIP用户名的有效性返回不同的错误信息,远程攻击者可以通过构造在身份认证头部包含非连续用户名的特制注册信息数据包来枚举有效用户名。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://downloads.digium.com/pub/asa/AST-2009-008-1.2.diff.txt
http://downloads.digium.com/pub/asa/AST-2009-008-1.4.diff.txt
http://downloads.digium.com/pub/asa/AST-2009-008-1.6.0.diff.txt
http://downloads.digium.com/pub/asa/AST-2009-008-1.6.1.diff.txt
参考网址
来源: BID
名称: 36924
链接:http://www.securityfocus.com/bid/36924
来源: SECTRACK
名称: 1023133
链接:http://www.securitytracker.com/id?1023133
来源: SECUNIA
名称: 37265
链接:http://secunia.com/advisories/37265
来源: OSVDB
名称: 59697
链接:http://osvdb.org/59697
来源: downloads.asterisk.org
链接:http://downloads.asterisk.org/pub/security/AST-2009-008.HTML
受影响实体
- Digium Asterisk:1.2.0
- Digium Asterisk:1.2.0:Beta1
- Digium Asterisk:1.2.0:Beta2
- Digium Asterisk:1.2.0:Rc1
- Digium Asterisk:1.2.0:Rc2
补丁
暂无
评论