中危 Asterisk可预测HTTP管理器会话ID漏洞

CVE编号

CVE-2008-1390

利用情况

暂无

补丁情况

官方补丁

披露时间

2008-03-25
漏洞描述
The AsteriskGUI HTTP server in Asterisk Open Source 1.4.x before 1.4.19-rc3 and 1.6.x before 1.6.0-beta6, Business Edition C.x.x before C.1.6, AsteriskNOW before 1.0.2, Appliance Developer Kit before revision 104704, and s800i 1.0.x before 1.1.0.2 generates insufficiently random manager ID values, which makes it easier for remote attackers to hijack a manager session via a series of ID guesses.
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
http://downloads.digium.com/pub/security/AST-2008-005.html
http://secunia.com/advisories/29449
http://secunia.com/advisories/29470
http://securityreason.com/securityalert/3764
http://www.securityfocus.com/archive/1/489819/100/0/threaded
http://www.securityfocus.com/bid/28316
http://www.securitytracker.com/id?1019679
https://exchange.xforce.ibmcloud.com/vulnerabilities/41304
https://www.redhat.com/archives/fedora-package-announce/2008-March/msg00438.html
https://www.redhat.com/archives/fedora-package-announce/2008-March/msg00514.html
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 asterisk asterisk 1.4.1 -
运行在以下环境
应用 asterisk asterisk 1.4.10 -
运行在以下环境
应用 asterisk asterisk 1.4.11 -
运行在以下环境
应用 asterisk asterisk 1.4.12 -
运行在以下环境
应用 asterisk asterisk 1.4.13 -
运行在以下环境
应用 asterisk asterisk 1.4.14 -
运行在以下环境
应用 asterisk asterisk 1.4.15 -
运行在以下环境
应用 asterisk asterisk 1.4.16 -
运行在以下环境
应用 asterisk asterisk 1.4.17 -
运行在以下环境
应用 asterisk asterisk 1.4.18.1 -
运行在以下环境
应用 asterisk asterisk 1.4.2 -
运行在以下环境
应用 asterisk asterisk 1.4.3 -
运行在以下环境
应用 asterisk asterisk 1.4.4 -
运行在以下环境
应用 asterisk asterisk 1.4.5 -
运行在以下环境
应用 asterisk asterisk 1.4.6 -
运行在以下环境
应用 asterisk asterisk 1.4.7 -
运行在以下环境
应用 asterisk asterisk 1.4.8 -
运行在以下环境
应用 asterisk asterisk 1.4.9 -
运行在以下环境
应用 asterisk asterisk 1.4_beta -
运行在以下环境
应用 asterisk asterisk 1.4_revision_95946 -
运行在以下环境
应用 asterisk asterisk 1.6 -
运行在以下环境
应用 asterisk asterisknow 1.0 -
运行在以下环境
应用 asterisk asterisknow beta_5 -
运行在以下环境
应用 asterisk asterisknow beta_6 -
运行在以下环境
应用 asterisk asterisknow beta_7 -
运行在以下环境
应用 asterisk asterisk_appliance_developer_kit 0.2 -
运行在以下环境
应用 asterisk asterisk_appliance_developer_kit 0.3 -
运行在以下环境
应用 asterisk asterisk_appliance_developer_kit 0.4 -
运行在以下环境
应用 asterisk asterisk_appliance_developer_kit 0.5 -
运行在以下环境
应用 asterisk asterisk_appliance_developer_kit 0.6 -
运行在以下环境
应用 asterisk asterisk_appliance_developer_kit 0.7 -
运行在以下环境
应用 asterisk asterisk_appliance_developer_kit 0.8 -
运行在以下环境
应用 asterisk asterisk_appliance_developer_kit 1.4 -
运行在以下环境
应用 asterisk asterisk_business_edition c.1.0-beta7 -
运行在以下环境
应用 asterisk asterisk_business_edition c.1.0-beta8 -
运行在以下环境
应用 asterisk s800i 1.0 -
运行在以下环境
应用 asterisk s800i 1.0.1 -
运行在以下环境
应用 asterisk s800i 1.0.2 -
运行在以下环境
应用 asterisk s800i 1.0.3 -
运行在以下环境
应用 asterisk s800i 1.1.0 -
运行在以下环境
系统 debian_10 asterisk * Up to
(excluding)
1:1.4.19.1~dfsg-1
运行在以下环境
系统 debian_11 asterisk * Up to
(excluding)
1:1.4.19.1~dfsg-1
阿里云评分
6.2
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
阿里云安全产品覆盖情况