发布日期：2008-01-02
更新日期：2008-01-03

受影响系统：

Asterisk Asterisk 1.4.x
Asterisk Business Edition C.x.x
Asterisk AsteriskNOW < beta7
Asterisk s800i 1.0.x

不受影响系统：

Asterisk Asterisk 1.4.17
Asterisk Business Edition C.1.0-beta8  
Asterisk AsteriskNOW beta7
Asterisk s800i 1.0.3.4

描述：

---

BUGTRAQ  ID: 27110

Asterisk是开放源码的软件PBX，支持各种VoIP协议和设备。

Asterisk处理带有畸形数据的请求时存在漏洞，远程攻击者可能利用此漏洞导致设备不可用。

当Asterisk试图以Also方式传输BYE消息时，由于将数据拷贝到了空指针，因此系统会立即崩溃。如果要利用这个漏洞，攻击者必须首先已经建立了对话。

<*来源：Joshua Colp （jcolp@digium.com）
  
  链接：http://marc.info/?l=bugtraq&m=119931205116388&w=2
        http://secunia.com/advisories/28312/
*>

建议：

---

厂商补丁：

Asterisk
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://downloads.digium.com/pub/telephony/asterisk
http://www.asterisknow.org/

浏览次数：2535
严重程度：0（网友投票）