Menü
Alert!
Security

Sicherheits-Update für Telefonanlagensoftware Asterisk

vorlesen Drucken Kommentare lesen 13 Beiträge

Die Entwickler der Open-Source-Telefonanlagen-Software Asterisk haben die Versionen 1.4.3 und 1.2.18 zum Download bereitgestellt, die zahlreiche Fehler und Schwachstellen beseitigt. So provozieren in verwundbaren Versionen bestimmte UDP-Pakete von anderen SIP-Endpunken im SIP-Channel-Driver eine Speicherverletzung, in dessen Folge Asterisk aussteigt – alle aktiven Anrufe gehen dabei verloren. Die Entwickler stufen das Problem in ihrem Fehlerbericht als kritisch ein.

Außerdem ist es möglich, über das Asterisk-Manager-Interface die komplette Telefonanlagensoftware zum Absturz zu bringen. Ursache ist eine Null-Pointer-Dereference, die beim Anmelden an Managerkonten auftritt, die kein Passowrt definiert haben. Standardmäßig ist das Management abgeschaltet.

Schließlich sind in den neuen Versionen zwei Buffer Overflows im SIP/SDP-Handler nicht mehr zu finden, mit der sich Code einschleusen und ausführen lassen soll. Dazu muss aber die Funktionen für T38-Fax in der Konfiguration aktiviert sein. Sofern dies der Fall ist, soll sich die Lücke mit zu langen T38-Parametern in SIP-Invite-Nachrichten ausnutzen lassen. Die Lücke wird als "moderat" eingestuft. |

Siehe dazu auch:

(dab)