Open Source im professionellen Einsatz

DoS-Lücke in Asterisk

04.01.2008

Die Entwickler der Open-Source-Telefonanlage Asterisk haben einen Fehler bereinigt, der unter Umständen Denial-of-Service-Attacken ermöglichte.

100

Die Sicherheitslücke fand sich im SIP-Channel-Treiber und betraf die "BYE with Also"-Transfer-Methode. Eine fehlerhafte Null-Pointer-Dereference konnte mittels einer manipulierten BYE-Massage die Anwendung zum Absturz bringen. Voraussetzung dafür war allerdings eine bereits bestehende Verbindung.

Betroffen von dem Fehler sind alle Versionen 1.4.x von Asterisk Open Source, alle C.x.x-Versionen der Business-Edition, die Vorversionen von AsteriskNOW, das Asterisk Appliance Developer Kit vor Version 1.4 Revision 95946 und die Asterisk Appliance s800i bis Version 1.0.3.4.

Auf den Webseiten der quelloffenen Anwendungen finden sich Updates, die den Fehler beheben. Aktualisierungen für die kommerziellen Produkte werden über deren Support bereitgestellt.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.