Update für Telefoniesoftware Asterisk beseitigt DoS-Schwachstelle
Mit einer Flut von Calls Reuqests lässt sich Asterisk in einen Zustand versetzen, in dem es keine weitere Anfragen mehr beantwortet. Andere Nutzer könnten so keine neuen Telefonverbindungen mehr aufbauen.
Über eine Schwachstelle in der Telekommunikations-Software Asterisk können Angreifer den Telefoniebetrieb lahm legen. Asterisk wird sowohl auf dedizierten Servern als auch Embedded Devices für Internettelefonie eingesetzt. Nach Angaben des X-Force-Teams des Herstellers Internet Security Systems lässt sich die Software mit einer Flut von so genannten Call Requests in einen Zustand versetzen, in dem sie keine weitere Anfragen mehr beantwortet. Andere Nutzer könnten so keine neuen Telefonverbindungen mehr aufbauen. Ursache ist ein Programmierfehler in der Implementierung des Inter-Asterisk eXchange Protocols (IAX).
Für einen erfolgreichen Angriff ist allerdings ein gültiger Nutzername erforderlich, nicht jedoch das passende Passwort. Betroffen ist Version 1.2.9, der Fehler steckt wahrscheinlich auch in früheren Versionen. Abhilfe schafft ein Update auf Version 1.2.10 und das Setzen der Option maxauthreq auf einen sinnvollen Wert, um die Anzahl nicht authentifizierter Verbindungsanfragen zu begrenzen.
Siehe dazu auch: (dab)
- Asterisk IAX2 Protocol Denial of Service Attack, Fehlerbericht von ISS
