Digium patcht Lücken in Telefonanlagensoftware Asterisk

Neue Versionen der Telefonanlagensoftware Asterisk beheben zwei SQL-Injection-Schwachstellen, mit denen ein Angreifer auf eine zugrunde liegende Postgresql-Datenbank zugreifen kann. Laut Fehlerbericht der Entwickler wäre es möglich, die für die Authentifizierung benötigten Nutzernamen und Passwörter anderer Anwender auszulesen. Ursache der Schwachstellen ist die fehlende Filterung einiger der in den empfangenen Paketen enthaltenen oder anderweitig verarbeiteten Parameter, beispielsweise der per Dialed Number Identification Service (DNIS) übertragene Rufnummer. Beim Schreiben des Call-Detail-Record-Logs in die Datenbank mit manipulierten DNIS-String wäre die Übergabe eigener Befehle an die Datenbank möglich. Die betroffenen Module res_config_pgsql und cdr_pgsql sind laut Bericht standardmäßig aber nicht aktiviert.

Betroffen sind alle Versionen von Asterisk Open Source 1.0.x, 1.2.x, 1.4.x, Asterisk Business Edition A.x.x, B.x.x und C.x.x, AsteriskNOW und s800i (Asterisk Appliance) 1.0.x. Als Workround schlagen die Entwickler vor, die PgsqlODBC-Treiber statt der Asterisk-Treiber zu nutzen. Die Fehler sind in Asterisk Open Source 1.2.25, 1.4.15 sowie der Asterisk Business Edition B.2.3.4 und C.1.0-beta6 behoben.

Siehe dazu auch:

• SQL Injection issue in cdr_pgsql, Fehlerbericht über Asterisk
• SQL Injection issue in res_config_pgsql, Fehlerbericht über Asterisk

(dab)