发布日期：2010-02-16
更新日期：2010-02-26

受影响系统：

Asterisk Asterisk 1.6.x
Asterisk Asterisk 1.4.x
Asterisk Asterisk 1.2.x
Asterisk Business Edition C.x.x
Asterisk Business Edition B.x.x

不受影响系统：

Asterisk Asterisk 1.2.40

描述：

---

BUGTRAQ  ID: 38314
CVE(CAN) ID: CVE-2010-0685

Asterisk是开放源码的软件PBX，支持各种VoIP协议和设备。

在使用${EXTEN}通道变量和通配符模式匹配的时候，Asterisk的dialplan功能允许攻击者向某些应用（如Dial()）注入额外的参数。如果所使用的通道技术可以接受非数字和字母的字符（如SIP），远程攻击者就可以通过发送特制的INVITE消息来利用这个漏洞，执行非授权的呼叫。

<*来源：Leif Madsen （lmadsen@digium.com）
  
  链接：http://secunia.com/advisories/38641/
        http://marc.info/?l=bugtraq&m=126659888802000&w=2
*>

建议：

---

厂商补丁：

Asterisk
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://issues.asterisk.org/view.php?id=16810
https://issues.asterisk.org/view.php?id=16808

浏览次数：3607
严重程度：0（网友投票）