BUGTRAQ ID: 28310
CVE(CAN) ID: CVE-2008-1332
Asterisk是开放源码的软件PBX,支持各种VoIP协议和设备。
Asterisk在处理呼叫选项时存在漏洞,远程攻击者可能利用此漏洞执行非授权操作。
远程攻击者可以通过SIP通道驱动使用无效的From头执行非授权呼叫,这种操作类似于SIP配置选项allowguest=yes,也就是带有特制From头的呼叫会发送给sip.conf的通用部分所指定环境中的PBX。
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=“http://downloads.digium.com/pub/telephony/asterisk” target=“_blank”>http://downloads.digium.com/pub/telephony/asterisk</a>
<a href=“http://www.asterisknow.org/” target=“_blank”>http://www.asterisknow.org/</a>