DoS-Lücke in TK-Anlagensoftware Asterisk beseitigt
Beim Empfang manipulierter "CAPABILITIES_RES_MESSAGE"-Pakete stürzt der Skinny-Channel-Treiber (chan_skinny) ab.
Die Entwickler der Telefonanlagensoftware Asterisk haben ein Update veröffentlicht, das eine Denial-of-Service-Schwachstelle beseitigen soll. Beim Empfang manipulierter "CAPABILITIES_RES_MESSAGE"-Pakete stürzt der Skinny-Channel-Treiber (chan_skinny) ab. Ein Angreifer muss sich zuvor jedoch authentifiziert haben. Das Skinny-Client-Control-Protocol (SCCP) ist ein proprietärer Cisco-Standard für Telefonie und Konferenzen über IP-basierte Netze.
Betroffen sind Asterisk 1.4.x bis einschließlich 1.4.9, AsteriskNow vor der Version Beta 7, die Asterisk-Applicane vor der Version 1.0.3 sowie das Asterisk Appliance Developer Kit vor 0.7.0. Zudem ist die Version 1.2.24 erschienen, die den beschriebenen Fehler allerdings nicht enthält. Allerdings sind dort nicht sicherheitsrelevante Fehler beseitigt. Der Zweig 1.2 soll ab sofort aber nur noch mit Security-Fixes bedacht werden. Eine Weiterentwicklung soll es nicht geben.
Siehe dazu auch:
- Remote crash vulnerability in Skinny channel driver, Fehlerbericht von Digium
(dab)
