Denial-of-Service in Asterisk
Zwei Schwachstellen wurden in Asterisk, die beide als kritisch, was könnte einem lokalen oder entfernten Angreifer einen Denial-of-Service auf anfällige Systeme.
Asterisk ist eine Anwendung der Telefon-Exchange (PBX) Open-Source. Wie jede TK-Anlage, können Sie eine bestimmte Anzahl von Telefonen, um Anrufe zu tätigen, um sich gegenseitig und auch die Verbindung zu einem VoIP-Anbieter für die Kommunikation mit der Außenwelt. Asterisk ist weit verbreitet und umfasst eine große Anzahl von interessanten
Features: Voice-Mail, Konferenzen, IVR, Automatic Call Distribution, und so weiter. Darüber hinaus ist die Software von Digium ist verfügbar für Linux, BSD, MacOS X, Solaris und Microsoft Windows.
Im Folgenden finden Sie weiter unten ausführlich erläutert die Schwachstellen gefunden und behoben:
* Durch das Senden massive Zugriffe Poke eine anfällige System könnte ein Angreifer erfassen alle Rufnummern (Linien) im Zusammenhang mit der IAX2-Protokoll, die Verhütung von der Verarbeitung der übrigen Anrufe oder Anfragen, was zu einer Denial-of-Service. Der Fehler wird verursacht, weil, nach dem IAX2-Protokoll, sobald der Server mit einem Antrag für Poke, würde dies senden Sie eine Antwort PONG und wäre warten auf ein ACK-Paket mit der gleichen Anzahl von Call, besetzt halten, dass die Linie. Das Problem wurde gelöst mit nur die Zahl der Call 1 (Linie 1) Anträge auf Poke und wobei die ACK-Pakete für die Strecke.
Die Forscher, der entdeckt, die eine Schwachstelle bekannt wurde nur zwei Tage nach Unterrichtung des Team von Digium über sie und ohne genügend Zeit für die Schaffung eines Patch. Ein Entwickler von Asterisk, die sie gelernt, von der Existenz der Nutzung durch Dritte, sie haben nicht gerne diesen Ansatz und haben durchgestrichen von unverantwortlich, gefährdet die Nutzbarkeit der Systeme betroffen.
* Auf der zweiten Sicherheitslücke entdeckt, wird durch einen Mangel an einer Methode zur Validierung Bestimmungsort (Handshake) im Protokoll, das für das Senden von Firmware-Updates, und könnte ein Angreifer zu fälschen die Richtung, aus der sendet einen solchen Antrag, so dass die Update-Paket gesendet vom Server (mit einer Größe von 1040 bytes) geschmiedet hatte eine Adresse als Ziel. Durch mehrere Anträge auf verschiedenen Servern, ein Angreifer könnte dazu führen, dass ein System eine große Menge an unerwünschten Update-Pakete, was zu einer Denial-of-Service.
Nachfolgend finden Sie eine Liste von Produkten, die von den zwei Sicherheitsprobleme:
Asterisk Open Source 1.0.x, 1.2.xy 1.4.x.
Asterisk Business Edition AXX, Bxx und CXX
Die Pre-Release-Version von AsteriskNOW.
Asterisk Appliance Developer Kit 0.xx
s800i (Asterisk Appliance) 1.0.x.
Wir empfehlen Ihnen ein Upgrade auf die folgenden nicht-gefährdeten Versionen von verschiedenen Produkten:
Asterisk Open Source, ein Upgrade auf Version 1.4.21.2 oder 1.2.30, verfügbar ab:
ftp://ftp.digium.com/pub/telephony/asterisk
Um ein Upgrade auf Asterisk Business Edition-Versionen B.2.5.4,
C.1.10.3 oder C.2.0.3, verfügbar ab:
Für s800i (Asterisk Appliance) Upgrade auf die Version 1.2.0.1.
Denken Sie über diese Nachricht:
http://www.hispasec.com/unaaldia/3561/comentar
Mehr Informationen
Asterisk Projekt Security Advisory - AST-2008-010: Asterisk IAX "Poke" Ressource Erschöpfung http://downloads.digium.com/pub/security/AST-2008-010.html
Asterisk Projekt Security Advisory - AST-2008-011: Traffic-Amplifikation in IAX2 Firmware-Provisioning-System http://downloads.digium.com/pub/security/AST-2008-011.html
Exploit der Sicherheitslücke an die Öffentlichkeit in der Asterisk IAX2-Protokoll http://downloads.securityfocus.com/vulnerabilities/exploits/30321.pl
Pablo Molina
