阿里云漏洞库

漏洞描述

Digium Asterisk Open Source和Certified Asterisk都是美国Digium公司的产品。Asterisk Open Source是一套开源的电话交换机（PBX）系统软件。该软件支持语音信箱、多方语音会议、交互式语音应答(IVR)等。Certified Asterisk是Asterisk Open Source的分支版本。Certified Asterisk是一套开源的电话交换机（PBX）系统软件。该软件支持语音信箱、多方语音会议、交互式语音应答(IVR)等。 Asterisk Open Source 存在安全漏洞，该漏洞源于在每个响应中更改时，在循环中不断发送邀请，导致Asterisk消耗越来越多的内存，因为事务永远不会终止(即使调用被挂起)，最终导致重新启动或关闭Asterisk。以下产品及版本受到影响：13.x系列13.37.1之前版本, 16.x系列16.14.1之前版本, 17.x系列7.8.1之前版本,18.x系列18.0.1之前版本，Certified Asterisk 16.8-cert5之前版本。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://downloads.asterisk.org/pub/security/AST-2020-002.html
https://lists.debian.org/debian-lts-announce/2022/04/msg00001.html
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	asterisk	certified_asterisk	*		Up to (including) 16.8.0
	运行在以下环境
	应用	asterisk	open_source	*	From (including) 13.0	Up to (excluding) 13.37.1
	运行在以下环境
	应用	asterisk	open_source	*	From (including) 16.0	Up to (excluding) 16.14.1
	运行在以下环境
	应用	asterisk	open_source	*	From (including) 17.0	Up to (excluding) 17.8.1
	运行在以下环境
	应用	asterisk	open_source	*	From (including) 18.0	Up to (excluding) 18.0.1
	运行在以下环境
	系统	debian_10	asterisk	*		Up to (excluding) 16.15.0~dfsg-1
	运行在以下环境
	系统	debian_11	asterisk	*		Up to (excluding) 16.15.0~dfsg-1
	运行在以下环境
	系统	fedora_33	asteris	*		Up to (excluding) 17.9.0-1.fc33

攻击路径

远程
攻击复杂度

复杂
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-674	未经控制的递归

低危 Digium Asterisk Open Source拒绝服务漏洞

漏洞描述

解决建议

参考链接

受影响软件情况