800+ IT
News
als RSS Feed abonnieren📚 Asterisk bis 11.23.0/13.11.0 RTP Handler Resource Exhaustion Denial of Service
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Es wurde eine Schwachstelle in Asterisk bis 11.23.0/13.11.0 entdeckt. Sie wurde als problematisch eingestuft. Es betrifft eine unbekannte Funktion der Komponente RTP Handler. Dank Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle (Resource Exhaustion) ausgenutzt werden. Dies hat Einfluss auf die Verfügbarkeit.
Die Schwachstelle wurde am 25.10.2016 durch Walter Doekes von Asterisk als AST-2016-007: UPDATE in Form eines bestätigten Mailinglist Posts (Full-Disclosure) publiziert. Das Advisory kann von seclists.org heruntergeladen werden. Die Herausgabe passierte in Zusammenarbeit mit dem Projektteam. Der Angriff kann über das Netzwerk erfolgen. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Vor einer Veröffentlichung handelte es sich 81 Tage um eine Zero-Day Schwachstelle. Während dieser Zeit erzielte er wohl etwa $1k-$2k auf dem Schwarzmarkt.
Ein Aktualisieren auf die Version 11.23.1 oder 13.11.1 vermag dieses Problem zu lösen.
CVSSv3
Base Score: ≈4.3 [?]Temp Score: ≈4.1 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L/E:X/RL:O/RC:C [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: ≈3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:N/A:P) [?]Temp Score: ≈3.0 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: Denial of ServiceLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 81 Tage seit gefunden
Upgrade: Asterisk 11.23.1/13.11.1
Timeline
05.08.2016 Hersteller informiert25.10.2016 Advisory veröffentlicht
26.10.2016 VulDB Eintrag erstellt
26.10.2016 VulDB letzte Aktualisierung
Quellen
Advisory: AST-2016-007: UPDATEPerson: Walter Doekes
Firma: Asterisk
Status: Bestätigt
Bestätigung: downloads.asterisk.org
Koordiniert: Ja
Eintrag
Erstellt: 26.10.2016Eintrag: 75.8% komplett
...