Schwachstelle in Open-Source-Bibliothek fĂĽr IP-Telefonie
Eine Schwachstelle in der Open Phone Abstraction Library (opal) lässt sich ausnutzen, um SIP-Anwendungen mit präparierten Content-Length-Headern in SIP-Paketen zum Absturz zu bringen.
Eine Schwachstelle in der Open Phone Abstraction Library (opal) lässt sich dazu ausnutzen, SIP-Anwendungen mit präparierten Content-Length-Headern in SIP-Paketen zum Absturz zu bringen. Opal ist eine Protokoll-Bibliothek, die neben SIP auch H.323 sowie Videokonferenz-Standards unterstützt. Unter anderem nutzt das Open-Source-Softphone Ekiga die Bibliothek. Im CVS von opal ist der Fehler zwar seit August behoben, allerdings hat bislang kaum ein Linux-Distributor aktualisierte Pakete veröffentlicht. Einzig Red Hat hat vor wenigen Tage fehlerbereinigte Pakete herausgegeben. Schutz bietet auch die seit Ende September verfügbare Ekiga-Version 2.0.10.
Siehe dazu auch:
- CVS-Diff, auf openh323.org
- Ekiga 2.0.10 released, Meldung auf Gnome.org
- CVE-2007-4924 ekiga remote crash caused by insufficient input validation, Fehlermeldung von Red Hat
(dab)
