当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Digium Asterisk SIP SDP 报头解析缓冲区溢出漏洞

     发表日期:2013-09-06 10:50:55

概述:

Asterisk是一个开放源代码的软件VoIP PBX系统,它是一个运行在Linux环境下的纯软件实施方案。

Asterisk存在缓冲区溢出漏洞,远程攻击者可以利用此漏洞实施拒绝服务攻击或在目标系统上执行恶意代码。

 

CVE-ID:2013-2685

 

详细描述:

Asterisk在res/res_format_attr_h264.c的h264_format_attr_sdp_parse()函数中存在缓冲区溢出漏洞,当用户请求H.264 media资源时会触发该漏洞。远程攻击者通过构造一个特殊的SDP报文头部引发缓冲区溢出,使得系统无法正常工作(拒绝服务)或执行某些恶意代码。

 

解决办法:

及时安装厂商发布的漏洞补丁,以修复该漏洞。

 

参考信息:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2685