Open Source im professionellen Einsatz

Asterisk-Lücke soll Lauschangriff ermöglichen

05.09.2017

Ein Fehler in der VoIP-Software Asterisk und dem RTP-Proxy soll es Angreifern erlauben, Gespräche mithören zu können.

136

Laut den Entdeckern der Lücke, ist der so genannte RTP-Bleed-Bug ein ernstzunehmendes Problem, dass auch in anderen RTP-Proxies stecken soll. Das Problem besteht nur im Zusammenspiel von RTP und NAT. Betroffen sind die Asrterisk-Ausgaben 11.4.0 bis 14.6.1. Das Problem steckt in der fehlenden Authentifizierung seitens einiger RTP-Proxies, die, wenn auch NAT beim Telefonieren zum Einsatz kommt, bei eingehenden RTP-Anfragen Gespräche auch an diese Adresse schickt. Hinweise dass solch ein Angriff durchgeführt wird, könnte miserable Audio-Qualität oder ein Abbrechen des Gesprächs sein. Die Entdecker der Lücke haben eine Webseite dazu veröffentlicht, die auch eine FAQ enthält. Es sei während der Tests gelungen, verwundbare Systeme ausfindig zu machen, ob die Lücke bereits ausgenutzt wird, vermögen die Entdecker nicht zu sagen. Sie empfehlen statt RTP besser SRTP zu verwenden.

Ähnliche Artikel

  • DoS-Lücke in Asterisk

    Die Entwickler der Open-Source-Telefonanlage Asterisk haben einen Fehler bereinigt, der unter Umständen Denial-of-Service-Attacken ermöglichte.

  • Zeit für was Neues

    Der eine braucht sowieso gerade eine neue, den anderen nervt, dass sich der Vermieter seiner Telefonanlage jedes Komfortmerkmal extra bezahlen lässt. Zeit zu wechseln, Zeit eine VoIP-fähige Anlage selbst zu bauen, Zeit für einen Asterisk-Workshop im Linux-Magazin.

  • Telefongemeinschaft

    Exklusiv auf DELUG-DVD: Die Asterisk-Soft-Appliance "Gemeinschaft" erlaubt dem Admin das Einrichten komplexer Telefonanlagen über eine webbasierte Benutzeroberfläche.

  • Gemeinschaft 3.0 setzt auf Asterisk 1.6

    Die neue Major-Version der VoIP-Software kommt mit einigen Verbesserungen daher, zum Beispiel eine Live-Ansicht der aktuellen Auslastung durch Gespräche.

  • Perl-Snapshot: Lauschangriff

    Im Screencast zum Perl-Snapshot demonstriert Mike Schilli, wie sich die Wireshark-Kommandozeilenversion Tshark einsetzen lässt.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.