Asterisk開發(fā)團隊安全建議:SIP堆棧溢出錯誤
2011/01/24
Asterisk開發(fā)團隊日前發(fā)布一個安全建議���,鑒于SIP通道驅(qū)動發(fā)現(xiàn)一個堆棧緩沖區(qū)溢出錯誤,將會影響遠程認證會話��。這項錯誤是在2011年1月11號報告的����,盡管嚴(yán)重等級為中等,Asterisk團隊還是在1月18日發(fā)布了這個錯誤���,并即時發(fā)布了各版本Asterisk的軟件補丁�����。 據(jù)報告�����,影響的版本包括從1.2開始到1.8的所有版本����,以及AsteriskNow、商業(yè)版等�����。
錯誤描述:當(dāng)按照原樣來轉(zhuǎn)發(fā)一個SIP外呼的時候�����,如果來電方提供的主叫號碼是有針對性地惡意信息��,會造成堆棧緩沖區(qū)溢出�。 這個漏洞也影響URIENCODE撥號規(guī)則功能���,在某些版本中���,還將影響AGI���。 主要原因是ast_uri_encode函數(shù)沒有正確處理輸出緩沖區(qū)的大小。
除了軟件補丁外�����,還可以在Dialplan里對URI編碼限制到40個字符的長度���,也將防止此漏洞����。
復(fù)制代碼
- exten => s,1,Set(CALLERID(num)=${CALLERID(num):0:40})
- exten => s,n,Set(CALLERID(name)=${CALLERID(name):0:40})
- exten => s,n,Dial(SIP/channel)
CALLERID(num) 和 CALLERID(name)通道值��,以及其他會傳遞給 URIENCODE 函數(shù)的參數(shù)都需要作類似的限制����。
51Asterisk
相關(guān)閱讀:
徐汇区|
建瓯市|
延吉市|
宜昌市|
梁平县|
百色市|
马关县|
建始县|
抚顺县|
佛冈县|
新竹市|
神农架林区|
饶阳县|
安义县|
青田县|
随州市|
定日县|
荔浦县|
隆安县|
娄底市|
高州市|
达拉特旗|
霍山县|
巴中市|
封开县|
茶陵县|
河北区|
宁夏|
拜城县|
双辽市|
准格尔旗|
秭归县|
德惠市|
治多县|
丹巴县|
大荔县|
兴安县|
镶黄旗|
房山区|
大关县|
泰安市|