Secunia waarschuwt voor lek in Asterisk
Gepubliceerd: Donderdag 3 januari 2008
Auteur: Ferry Waterkamp
Secunia waarschuwt voor een kwetsbaarheid in de open source IP PBX-software Asterisk. Het lek is volgens de Deense beveiligingsspecialist 'gemiddeld kritisch'.
Het lek is te wijten aan een 'null-pointer dereference error' bij het verwerken van de transfermethode 'BYE/Also'. Hackers krijgen hiermee de mogelijkheid om de Denial of Service (DoS)-aanval uit te voeren en de applicatie uit de lucht te schieten. Voorwaarde is wel dat de gebruiker al een sessie heeft opgezet.
De kwetsbaarheid is aangetroffen in Asterisk Open Source 1.4.x (tot aan versie 1.4.17), Asterisk Business Edition C.x.x (tot aan versie C.1.0-beta8), AsteriskNOW, Asterisk Appliance Developer Kit tot aan Asterisk 1.4 revision 95946 en de s800i (Asterisk Appliance) 1.0.x tot aan versie 1.0.3.4. Het lek wordt in de nieuwste versies en bètareleases van Asterisk gedicht.
Bron: Techworld
