Sicherheits-Update für Asterisk 1.4
Die Entwickler der Telefonanlagensoftware Asterisk haben Version 1.4.13 bereit gestellt, die zwei Schwachstellen in Voice-Mail-System beseitigt.
Die Entwickler der Telefonanlagensoftware Asterisk haben Version 1.4.13 bereitgestellt, die zwei Schwachstellen in Voice-Mail-System beseitigt. Voice-Mail wird in Asterisk über IMAP abgewickelt, der darin enthaltene Code verwendet nach Angaben von Digium mehrfach die unsichere Funktion sprintf, wodurch es zu zwei Buffer Overflows kommen kann.
Einer davon lässt sich ausnutzen, um ein System zum Absturz zu bringen oder Code auf ein Endsystem zu schleusen und zu starten. Der Fehler tritt auf, wenn die Content-Type- oder Content-Description-Header zusammen mehr als 1024 Bytes ergeben. Laut Bericht lässt sich der Fehler nur ausnutzen, wenn ein Anwender seine Voice-Mail per Telefon abfragt – die Abfrage per Mail ist nicht betroffen. Das Update tauscht die unsicheren Funktionsaufrufe durch snprint-Aufrufe aus. Es ist nur die Open-Source-Version von Asterisk 1.4.x betropffen.
Siehe dazu auch:
- Buffer overflows in voicemail when using IMAP storage, Fehlerbericht von Digium
(dab)
