Asterisk voorkomt DoS-aanval met pleisters
Gepubliceerd: Donderdag 24 juli 2008
Auteur: Ferry Waterkamp
De makers van Asterisk hebben twee lekken gedicht in de open source IP PBX-software. De lekken maken het mogelijk om (bewust of onbewust) een Denial of Service (DoS)-aanval op het telefoniesysteem uit te voeren.
Het eerste lek schuilt in het IAX2-protocol dat wordt gebruikt voor het opzetten van een sessie, vergelijkbaar met. Door een Asterisk-server te overladen met 'POKE'-verzoeken kan een aanvaller voorkomen dat IAX2-oproepen worden doorgelaten. Een voorbeeld van een exploit is hier te vinden.
Het andere probleem heeft te maken met het feit dat het downloadprotocol in de firmeware geen handshake vereist. Aanvallers kunnen dit uitbuiten door pakketjes van 1040 bytes naar de server te sturen via 40-byte pakketjes met een vals bronadres.
De kwetsbare Asterisk-versies staan vermeld in de betreffende beveiligingsadviezen van het Asterisk. Volgens Secunia lopen Asterisk-gebruikers overigens niet al te veel risico. De geconstateerde gebreken hebben van de lekkenwatcher het predikaat 'less critical' meegekregen.
Bron: Techworld
