检测

Asterisk ast_parse_digest 函数 HTTP 摘要式认证字符串解析远程溢出 (AST-2012-003)

critical Nessus 插件 ID 58433

语言:

简介

远程主机上运行的 Asterisk 版本可能受到缓冲区溢出漏洞的影响。

描述

根据其 SIP 标题中的版本,远程主机上运行的 Asterisk 版本可能受到一个漏洞的影响,该漏洞允许远程攻击者导致服务器崩溃,或通过发送任意长字符串值执行 HTTP 摘要式认证来注入任意代码。

解决方案

升级到 Asterisk 1.8.10.1 / 10.2.1 或应用 Asterisk 公告中列出的修补程序。

另见

http://downloads.asterisk.org/pub/security/AST-2012-003.html

https://issues.asterisk.org/jira/browse/ASTERISK-19542

插件详情

严重性: Critical

ID: 58433

文件名: asterisk_ast_2012_003.nasl

版本: 1.16

类型: remote

系列: Misc.

发布时间: 2012/3/22

最近更新时间: 2022/4/11

配置: 启用偏执模式, 启用全面检查 (optional)

支持的传感器: Nessus

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.3

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: cpe:/a:digium:asterisk

必需的 KB 项: Settings/ParanoidReport, asterisk/sip_detected

可利用: true

易利用性: Exploits are available

补丁发布日期: 2012/1/15

漏洞发布日期: 2012/3/15

可利用的方式

Core Impact

参考资料信息

CVE: CVE-2012-1184

BID: 52815