发布日期：2013-08-27
更新日期：2013-08-29

受影响系统：

Asterisk Asterisk Open Source 1.8.3.1

描述：

---

BUGTRAQ  ID: 62022
CVE(CAN) ID: CVE-2013-5642

Asterisk是一款实现电话用户交换机（PBX）功能的自由软件、开源软件。

Asterisk Open Source、Certified Asterisk的SIP通道驱动程序存在远程崩溃漏洞，如果在SIP请求内发送无效SDP，该SDP定义了连接信息前的媒体描述，处理代码会错误的引用套接字地址信息。

<*来源：Walter Doekes
  
  链接：http://secunia.com/advisories/54534/
        http://downloads.asterisk.org/pub/security/AST-2013-005.html
*>

建议：

---

厂商补丁：

Asterisk
--------
Asterisk已经为此发布了一个安全公告（AST-2013-005）以及相应补丁:
AST-2013-005：Remote Crash when Invalid SDP is sent in SIP Request
链接：http://downloads.asterisk.org/pub/security/AST-2013-005.html

补丁下载：


http://downloads.asterisk.org/pub/security/AST-2013-005-1.8.diff
Asterisk 1.8
http://downloads.asterisk.org/pub/security/AST-2013-005-10.diff
Asterisk 10
http://downloads.asterisk.org/pub/security/AST-2013-005-10-digiumphones.diff
Asterisk 10-digiumphones
http://downloads.asterisk.org/pub/security/AST-2013-005-11.diff
Asterisk 11
http://downloads.asterisk.org/pub/security/AST-2013-005-1.8.15.diff
Certified Asterisk 1.8.15
http://downloads.asterisk.org/pub/security/AST-2013-005-11.2.diff
Certified Asterisk 11.2

浏览次数：2635
严重程度：0（网友投票）