scip AG

• Firma
• News
• Dienstleistungen
• Publikationen

VulDB: Asterisk IMAP Storage Voicemail Pufferüberlauf

Allgemein

scipID: 3382
Betroffen: Asterisk 1.x
Veröffentlicht: 11.10.2007 (Russell Bryant Mark Michelson)
Risiko: problematisch

Beschreibung

Asterisk ist eine freie Software, die alle Funktionalitäten einer herkömmlichen Telefonanlage abdeckt. Asterisk unterstützt Voice-over-IP (VoIP) mit unterschiedlichen Protokollen und kann mittels relativ günstiger Hardware mit Anschlüssen wie POTS (analoger Telefonanschluss), ISDN-Basisanschluss (BRI) oder -Primärmultiplexanschluss (PRI, E1 oder T1) verbunden werden. Mark Spencer hat Asterisk ursprünglich geschrieben, wichtige Erweiterungen und Applikationen stammen aber auch von anderen Entwicklern. Russell Bryant und Mark Michelson fanden heraus, dass durch das Senden einer speziell manipulierten E-Mail als Voicemail Nachricht mit überlangen Headerdaten ein Pufferüberlauf provoziert werden kann, mittels dem beliebiger Code zur Ausführung gebracht werden kann.

Asterisk ist heute ein gerngesehener Ersatz für altgediente Telefonanlagen, die noch mit sündhaft teuren Hardwareanschaffungen zusammenhingen. Ebenso gern gesehen dürfte die vorliegende Schwachstelle für potentielle Angreifer sein, weshalb es sich empfiehlt die freigegebenen Updates baldmöglichst zur Schliessung der Lücke einzuspielen.

Exploiting

Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja

Exploit: –
Milw0rm: –
Nessus: –
ATK: –

Gegenmassnahmen

Status: Es wurde ein Patch herausgegeben.
Bestätigung: http://downloads.digium.com/pub/security/AST-2007-022.html

Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://downloads.digium.com/pub/security/AST-2007-022.html

Snort: –
Pattern: –

Quellen

Advisory: http://downloads.digium.com/pub/security/AST-2007-022.html

CVE: CVE-2007-5358
OSVDB: 38202
Securityfocus: 26005
Secunia: 27184
X-Force: 37051
Securitytracker: 1018804
VUPEN: ADV-2007-3454
Securiteam: –

Tecchannel: –
Heise: –
smSS: smSS 19. Oktober 2007
Buchtipp: Brian Hatch, James Lee, George Kurtz und Anne Carasik (2002), Das Anti-Hacker-Buch für Linux, mitp, ISBN 3826606698 (amazon.de)

Übersicht Schwachstellen

• Letzte Einträge
  • Cisco IOS TCP Connection Handling Denial of Service
  • Adobe ColdFusion Directory Traversal Schwachstelle
  • Microsoft Windows Tracing Feature for Services Privilege Escalation
  • Microsoft Windows MPEG Layer-3 Audio Decoder Pufferüberlauf
  • Microsoft Windows SMB Server verschiedene Schwachstellen
• Statistiken
  • Übersicht
  • Produkte
  • Reference Maps
• Archiv
  • 2010
  • 2009
  • 2008
  • 2007
  • 2006
  • 2005
  • 2004
  • 2003
• Syndication
  • Alert System
  • RSS
  • Twitter