Zugriff auf fremde Nachrichten in Asterisk

Die Software-Telefonanlage Asterisk gewährt angemeldeten Nutzern aufgrund einer mangelnden Überprüfung von übergebenen Parametern im Webinterface den Zugriff auf beliebige wav-Dateien, auch auf gespeicherte Nachrichten anderer Nutzer.

28

08.11.2005, 10:02 Uhr

Lesezeit: 1 Min.

Von

Dirk Knop

Die Software-Telefonanlage Asterisk gewährt angemeldeten Nutzern aufgrund einer mangelnden Überprüfung von übergebenen Parametern im Webinterface den Zugriff auf beliebige wav-Dateien, auch auf gespeicherte Nachrichten anderer Nutzer. Der Fehler findet sich in der Datei vmail.cgi, die ein Web-Frontend zum Zugriff auf die gespeicherten Nachrichten darstellt.

Ein Zugriff mit der URL

http://asterisk.example.org/cgi-bin/vmail.cgi?
 action=audio&folder=../201/INBOX&mailbox=200&
 context=default&password=12345&msgid=0001&format=wav

liefert laut der Sicherheitsmeldung von Assurance.com.au beispielsweise die Nachricht msg0001.wav des Benutzers 201 an den angemeldeten Benutzer 200 aus.

Betroffen sind die Asterisk-Versionen 1.0.9 sowie 1.2.0-Beta1 und ältere sowie Asterisk@Home in den Versionen 1.5 und 2.0-Beta4 und vorherige. Laut dem Entdecker der Lücke, Adam Pointon, sind die Patches in das Asterisk-CVS eingeflossen, von dort aus können betroffene Administratoren den fehlerbereinigten Code herunterladen und einpflegen.

${intro} ${title}

${intro} ${title}

Zugriff auf fremde Nachrichten in Asterisk

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.