漏洞信息详情

Digium Asterisk design功能模块${EXTEN}变量和通配符模式漏洞

• CNNVD编号：CNNVD-201002-238
• 危害等级： 中危
  
• CVE编号： CVE-2010-0685
• 漏洞类型： 设计错误
• 发布时间： 2010-02-23
• 威胁类型： 远程
• 更新时间： 2010-02-24
• 厂        商： digium
• 漏洞来源：

漏洞简介

Asterisk是一种开放源代码的通信平台。

Asterisk开源design功能模块中变量和通配符模式漏洞，当使用${EXTEN}变量和通配符模式匹配，允许关联攻击者使用匹配字符注入代码进入dialplan，注入变量扩大，同样证明使用Dial功能处理一个自制的SIP INVITE消息加入一个无效路径。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.digium.com/

参考网址

来源: XF

名称: asterisk-dial-weak-security(56397)

链接:http://xforce.iss.net/xforce/xfdb/56397

来源: VUPEN

名称: ADV-2010-0439

链接:http://www.vupen.com/english/advisories/2010/0439

来源: SECTRACK

名称: 1023637

链接:http://www.securitytracker.com/id?1023637

来源: BUGTRAQ

名称: 20100218 AST-2010-002: Dialplan injection vulnerability

链接:http://www.securityfocus.com/archive/1/archive/1/509608/100/0/threaded

来源: MISC

链接:http://svn.asterisk.org/svn/asterisk/branches/1.2/README-SERIOUSLY.bestpractices.txt

来源: SECUNIA

名称: 38641

链接:http://secunia.com/advisories/38641

来源: downloads.digium.com

链接:http://downloads.digium.com/pub/security/AST-2010-002.HTML

受影响实体

• Digium Asterisk:C.1.6.2:-:Business  
• Digium Asterisk:C.1.8.0:-:Business  
• Digium Asterisk:1.2.36  
• Digium Asterisk:1.2.34  
• Digium Asterisk:1.2.35  

补丁

暂无