Neue Asterisk-Versionen erschweren Erraten von Nutzernamen

Asterisk reagiert bei INVITE- oder REGISTER-Anfragen unterschiedlich auf ungültige und gültige Nutzernamen. Ein Angreifer könnte so gültige Namen leichter erraten.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Neue Versionen der Telefonanlagensoftware Asterisk sollen verhindern, dass Angreifer an gültige Nutzernamen gelangen können. Laut Beschreibung reagiert Asterisk bei verwundbaren Versionen mit unterschiedlichen Meldungen auf ungültige und gültige Nutzernamen bei INVITE- oder REGISTER-Anfragen. Ein Angreifer kann mittels Durchprobieren so gültige Namen rekonstruieren und für spätere Attacken missbrauchen – insbesondere bei öffentlich erreichbaren Anlagen.

In den Versionen Asterisk Open Source 1.2.32, 1.4.24.1, 1.6.0.8, Asterisk Business Edition B.2.5.8, C.1.10.5, C.2.3.3 und s800i (Asterisk Appliance) 1.3.0.2 ist das Problem beseitigt.

Siehe dazu auch

(dab)