漏洞信息详情
Digium Asterisk CIDR绕过主机访问限制规则漏洞
- CNNVD编号:CNNVD-201004-035
- 危害等级: 中危
- CVE编号: CVE-2010-1224
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2010-02-25
- 威胁类型: 远程
- 更新时间: 2010-04-01
- 厂 商: digium
- 漏洞来源: Mark Michelson mmi...
漏洞简介
Asterisk是一款PBX系统的软件,运行在Linux系统上,支持使用SIP,IAX,H323协议进行IP通话。
Asterisk Open Source 中的main/acl.c 存在访问控制绕过漏洞。当permit= 和 deny= 规则配置中用到CIDR符号“/0”时,因为没有正确的强制远程主机的访问控制权限,造成不正确的运算移位,远程攻击者从未经授权的主机绕过ACL规则并访问服务。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://downloads.asterisk.org/pub/security/AST-2010-003-1.6.0.diff1.6.0
http://downloads.asterisk.org/pub/security/AST-2010-003-1.6.1.diff1.6.1
http://downloads.asterisk.org/pub/security/AST-2010-003-1.6.2.diff1.6.2
参考网址
来源: downloads.asterisk.org
链接:http://downloads.asterisk.org/pub/security/AST-2010-003-1.6.2.diff
来源: XF
名称: asterisk-cidr-security-bypass(56552)
链接:http://xforce.iss.net/xforce/xfdb/56552
来源: VUPEN
名称: ADV-2010-0475
链接:http://www.vupen.com/english/advisories/2010/0475
来源: BID
名称: 38424
链接:http://www.securityfocus.com/bid/38424
来源: BUGTRAQ
名称: 20100225 AST-2010-003: Invalid parsing of ACL rules can compromise security
链接:http://www.securityfocus.com/archive/1/archive/1/509757/100/0/threaded
来源: SECUNIA
名称: 38752
链接:http://secunia.com/advisories/38752
来源: OSVDB
名称: 62588
链接:http://osvdb.org/62588
来源: downloads.asterisk.org
链接:http://downloads.asterisk.org/pub/security/AST-2010-003.HTML
来源: downloads.asterisk.org
链接:http://downloads.asterisk.org/pub/security/AST-2010-003-1.6.1.diff
来源: downloads.asterisk.org
链接:http://downloads.asterisk.org/pub/security/AST-2010-003-1.6.0.diff
来源:NSFOCUS 名称:14552 链接:http://www.nsfocus.net/vulndb/14552
受影响实体
- Digium Asterisk:1.6.2.4
- Digium Asterisk:1.6.2.3:Rc2
- Digium Asterisk:1.6.2.2
- Digium Asterisk:1.6.2.1:Rc1
- Digium Asterisk:1.6.2.0:Rc8
补丁
- AST-2010-003-1.6.1
- AST-2010-003-1.6.0
- AST-2010-003-1.6.2
评论