Digium Asterisk Open Source和Certified Asterisk 双重释放漏洞
| CNNVD-ID编号 | CNNVD-201412-324 | CVE编号 | CVE-2014-9374 |
| 发布时间 | 2014-12-15 | 更新时间 | 2014-12-15 |
| 漏洞类型 | 漏洞来源 | N/A | |
| 危险等级 | 中危 | 威胁类型 | 远程 |
| 厂商 | digium | ||
漏洞介绍
Digium Asterisk Open Source和Certified Asterisk都是美国Digium公司的开源电话交换机(PBX)系统软件。该软件支持语音信箱、多方语音会议、交互式语音应答(IVR)等。PJSIP是其中的一个多媒体通信库。multi-part body parser是其中的一个解析器。
Digium Asterisk Open Source和Certified Asterisk的WebSocket Server(res_http_websocket module)中存在双重释放漏洞。远程攻击者可通过发送零长度的帧利用该漏洞造成拒绝服务(崩溃)。以下产品和版本受到影响:Asterisk Open Source 11.14.2之前11.x版本,12.7.2之前12.x版本,13.0.2之前13.x版本,Certified Asterisk 11.6-cert9之前11.6版本。
漏洞补丁
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://downloads.asterisk.org/pub/security/AST-2014-019.html
参考网址
来源:downloads.asterisk.org
链接:http://downloads.asterisk.org/pub/security/AST-2014-019.html
来源:BID
链接:http://www.securityfocus.com/bid/71607
来源:BUGTRAQ
链接:http://www.securityfocus.com/archive/1/archive/1/534197/100/0/threaded
来源:SECUNIA
链接:http://secunia.com/advisories/60251
来源:FULLDISC
链接:http://seclists.org/fulldisclosure/2014/Dec/48
来源:packetstormsecurity.com
链接:http://packetstormsecurity.com/files/129473/Asterisk-Project-Security-Advisory-AST-2014-019.html
受影响实体
Digium Asterisk:11.13.0:Rc1 Digium Asterisk:11.14.0:Rc1 Digium Asterisk:11.14.0:Rc2 Digium Asterisk:11.14.0 Digium Asterisk:12.0.0信息来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201412-324
评论