发布日期：2007-10-10
更新日期：2007-10-11

受影响系统：

Asterisk Asterisk 1.4.x

不受影响系统：

Asterisk Asterisk 1.4.13

描述：

---

BUGTRAQ  ID: 26005

Asterisk是开放源码的软件PBX，支持各种VoIP协议和设备。

Asterisk在处理畸形格式的语音邮件时存在多个缓冲区溢出漏洞，远程攻击者可能利用这些漏洞控制系统。

如果astspooldir（在asterisk.conf中设置）、语音邮件上下文和语音邮件邮箱的组合超长的话，就会在播放或转发消息时触发缓冲区溢出；此外如果Asterisk识别为语音邮件消息的邮件的Content-type或Content-description头中包含有多于1024个字符的话，在通过电话接听语音邮件消息时会触发缓冲区溢出。请注意用户直接通过邮件客户端接收语音邮件不会触发这个溢出。

<*来源：Russell Bryant （russell@digium.com）
        Mark Michelson （mmichelson@digium.com）
  
  链接：http://marc.info/?l=asterisk-users&m=119203412010380&w=2
        http://secunia.com/advisories/27184/
*>

建议：

---

厂商补丁：

Asterisk
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.asterisk.org/

浏览次数：3250
严重程度：0（网友投票）