在Asterisk开源至13.27.0、14.x和15.x至15.7.2和16.x至16.4.0以及认证的Asterisk通过13.21-cert3发现了一个问题。在处理SDP协商时chan_sip中的指针取消引用允许攻击者在处理对传出的T.38重新邀请的SDP答复时使Asterisk崩溃。要利用此漏洞,攻击者必须使chan_sip模块向他们发送T.38重新邀请请求。收到后,攻击者必须发送包含T.38 UDPTL流和仅包含编解码器的另一媒体流的SDP应答(根据chan_sip配置,这是不允许的)。
建议您更新当前系统或软件至最新版,完成漏洞的修复。