漏洞信息详情

Digium Asterisk Open Source 资源管理错误漏洞

• CNNVD编号：CNNVD-201502-156
• 危害等级： 中危
  
• CVE编号： CVE-2015-1558
• 漏洞类型： 资源管理错误
• 发布时间： 2015-02-10
• 威胁类型： 远程
• 更新时间： 2015-02-10
• 厂        商： digium
• 漏洞来源：

漏洞简介

Digium Asterisk Open Source是美国Digium公司的一套开源的电话交换机（PBX）系统软件。该软件支持语音信箱、多方语音会议、交互式语音应答(IVR)等。

Digium Asterisk Open Source 12.8.1之前12.x版本和13.1.1之前13.x版本中存在安全漏洞，该漏洞源于程序使用PjsIP通道驱动程序时，没有正确回收RTP端口资源。远程攻击者可借助带有不兼容解码器的SDP offer利用该漏洞造成拒绝服务（文件描述符消耗）。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://downloads.asterisk.org/pub/security/AST-2015-001.HTML

参考网址

来源:BUGTRAQ

链接:http://www.securityfocus.com/archive/1/archive/1/534573/100/0/threaded

来源:downloads.asterisk.org

链接:http://downloads.asterisk.org/pub/security/AST-2015-001.HTML

来源:SECTRACK

链接:http://www.securitytracker.com/id/1031661

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2015/Jan/116

受影响实体

• Digium Asterisk:13.1.0:Rc2  
• Digium Asterisk:13.2.0:Rc1  
• Digium Asterisk:13.2.0  
• Digium Asterisk:13.1.0:Rc1  
• Digium Asterisk:13.1.0  

补丁

• asterisk-12.8.1
• asterisk-13.1.1