发布日期：2012-03-16
更新日期：2012-03-19

受影响系统：

Asterisk Asterisk 10.x    
Asterisk Asterisk 1.x

描述：

---

BUGTRAQ  ID: 52523
CVE(CAN) ID: CVE-2012-1183

Asterisk是一款实现电话用户交换机（PBX）功能的自由软件、开源软件。

Asterisk在实现上存在多个远程拒绝服务漏洞，远程攻击者可利用这些漏洞造成应用程序崩溃，拒绝服务合法用户并控制受影响系统。

1）在复制内部数据示例时， "milliwatt_generate()"函数(apps/app_milliwatt.c)中的Milliwatt应用中存在错误，通过特制的报文，可造成崩溃。

2）在处理 "HTTP Digest Authentication"信息时， "ast_parse_digest()"函数 (main/utils.c) 中存在错误，可通过超长的字符串造成栈缓冲区溢出。

<*来源：Russell Bryant （russell@digium.com）
  
  链接：http://secunia.com/advisories/48417/
*>

建议：

---

厂商补丁：

Asterisk
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://downloads.asterisk.org/pub/security/

浏览次数：1924
严重程度：0（网友投票）