阿里云漏洞库

漏洞描述

Asterisk开源1.8.x中的（1）VoIP通道驱动程序，（2）DUNDi和（3）Asterisk管理器接口（AMI）在1.8.32.1之前，在11.14.1之前的11.x，在12.7.1之前的12.x ，以及13.0.1之前的13.x和1.8.28-cert3之前的Certified Asterisk 1.8.28以及11.6-cert8之前的11.6允许远程攻击者通过作为first ACL entry的具有不共享

 address family  的源IP的数据包绕过ACL限制。。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://downloads.asterisk.org/pub/security/AST-2014-012.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	digium	asterisk	*	From (including) 1.8.0	Up to (excluding) 1.8.32.1
	运行在以下环境
	应用	digium	asterisk	*	From (including) 11.0.0	Up to (excluding) 11.14.1
	运行在以下环境
	应用	digium	asterisk	*	From (including) 12.0.0	Up to (excluding) 12.7.1
	运行在以下环境
	应用	digium	asterisk	*	From (including) 13.0.0	Up to (excluding) 13.0.1
	运行在以下环境
	应用	digium	certified_asterisk	1.8.28	-
	运行在以下环境
	应用	digium	certified_asterisk	1.8.28.0	-
	运行在以下环境
	应用	digium	certified_asterisk	11.6	-
	运行在以下环境
	应用	digium	certified_asterisk	11.6.0	-
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 1:13.1.0~dfsg-1
	运行在以下环境
	系统	debian_10	asterisk	*		Up to (excluding) 1:13.1.0~dfsg-1
	运行在以下环境
	系统	debian_11	asterisk	*		Up to (excluding) 1:13.1.0~dfsg-1
	运行在以下环境
	系统	debian_7	asterisk	*		Up to (excluding) 1:1.8.13.1~dfsg1-3+deb7u4
	运行在以下环境
	系统	ubuntu_16.04.7_lts	asterisk	*		Up to (excluding) 1:13.1.0~dfsg-1ubuntu1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	asterisk	*		Up to (excluding) 1:13.1.0~dfsg-1ubuntu1
	运行在以下环境
	系统	ubuntu_18.10	asterisk	*		Up to (excluding) 1:13.1.0~dfsg-1ubuntu1

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

越权影响
EXP成熟度

N/A
补丁情况

官方补丁
数据保密性

无影响
数据完整性

传输被破坏
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-264	权限、特权和访问控制

中危 asterisk,certified_asterisk 安全绕过漏洞

漏洞描述

解决建议

参考链接

受影响软件情况