发布日期：2011-06-27
更新日期：2011-06-27

受影响系统：

Asterisk Asterisk 1.x
Asterisk Business Edition

不受影响系统：

Asterisk Asterisk 1.8.4.3
Asterisk Asterisk 1.6.2.18.1
Asterisk Asterisk 1.4.41.1
Asterisk Business Edition C.3.7.3

描述：

---

BUGTRAQ  ID: 48431
CVE ID: CVE-2011-2529,CVE-2011-2535

Asterisk是一款实现电话用户交换机（PBX）功能的自由软件、开源软件。

Asterisk在实现上存在多个远程拒绝服务漏洞，远程攻击者可利用这些漏洞造成应用程序崩溃，拒绝服务合法用户。

如果远程用户发送包含零的SIP包，在缓冲区实际溢出时Asterisk假定可用数据扩展到零后，在包的末尾。这可造成SIP标头解析修改缓冲区以外的数据，改变了不相关的内存结构。此漏洞不影响TCP/TLS连接。

<*来源：Paul Belanger
  
  链接：http://downloads.asterisk.org/pub/security/AST-2011-008.html
        http://downloads.asterisk.org/pub/security/AST-2011-009.html
        http://downloads.asterisk.org/pub/security/AST-2011-010.html
*>

建议：

---

厂商补丁：

Asterisk
--------
Asterisk已经为此发布了一个安全公告（AST-2011-008）以及相应补丁:

AST-2011-008：Remote Crash Vulnerability in SIP channel driver

链接：http://downloads.asterisk.org/pub/security/AST-2011-008.html

浏览次数：2203
严重程度：0（网友投票）