低危 Digium Asterisk Open Source和Certified Asterisk CDR缓冲区溢出漏洞

CVE编号

CVE-2017-7617

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-04-11

漏洞描述

Digium Asterisk Open Source和Certified Asterisk是美国Digium公司的开源电话交换机（PBX）系统软件。 Digium Asterisk Open Source和Certified Asterisk处理CDR用户字段存在缓冲区溢出漏洞。远程攻击者可利用该漏洞提交特殊的请求，执行代码。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接:http://downloads.asterisk.org/pub/security/AST-2017-001.html

参考链接
http://downloads.asterisk.org/pub/security/AST-2017-001.html
http://www.securityfocus.com/bid/97377
https://bugs.debian.org/859910

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	digium	asterisk	13.0.0	-
	运行在以下环境
	应用	digium	asterisk	13.0.1	-
	运行在以下环境
	应用	digium	asterisk	13.0.2	-
	运行在以下环境
	应用	digium	asterisk	13.1.0	-
	运行在以下环境
	应用	digium	asterisk	13.1.1	-
	运行在以下环境
	应用	digium	asterisk	13.10.0	-
	运行在以下环境
	应用	digium	asterisk	13.11.0	-
	运行在以下环境
	应用	digium	asterisk	13.11.1	-
	运行在以下环境
	应用	digium	asterisk	13.11.2	-
	运行在以下环境
	应用	digium	asterisk	13.12	-
	运行在以下环境
	应用	digium	asterisk	13.12.0	-
	运行在以下环境
	应用	digium	asterisk	13.12.1	-
	运行在以下环境
	应用	digium	asterisk	13.12.2	-
	运行在以下环境
	应用	digium	asterisk	13.13	-
	运行在以下环境
	应用	digium	asterisk	13.13.0	-
	运行在以下环境
	应用	digium	asterisk	13.14.0	-
	运行在以下环境
	应用	digium	asterisk	13.2.0	-
	运行在以下环境
	应用	digium	asterisk	13.2.1	-
	运行在以下环境
	应用	digium	asterisk	13.3.0	-
	运行在以下环境
	应用	digium	asterisk	13.3.2	-
	运行在以下环境
	应用	digium	asterisk	13.4.0	-
	运行在以下环境
	应用	digium	asterisk	13.5.0	-
	运行在以下环境
	应用	digium	asterisk	13.6.0	-
	运行在以下环境
	应用	digium	asterisk	13.7.0	-
	运行在以下环境
	应用	digium	asterisk	13.7.1	-
	运行在以下环境
	应用	digium	asterisk	13.7.2	-
	运行在以下环境
	应用	digium	asterisk	13.8.0	-
	运行在以下环境
	应用	digium	asterisk	13.8.1	-
	运行在以下环境
	应用	digium	asterisk	13.8.2	-
	运行在以下环境
	应用	digium	asterisk	13.9.0	-
	运行在以下环境
	应用	digium	asterisk	13.9.1	-
	运行在以下环境
应用	digium	asterisk	14.0	-
运行在以下环境
应用	digium	asterisk	14.0.0	-
运行在以下环境
应用	digium	asterisk	14.0.1	-
运行在以下环境
应用	digium	asterisk	14.0.2	-
运行在以下环境
应用	digium	asterisk	14.01	-
运行在以下环境
应用	digium	asterisk	14.02	-
运行在以下环境
应用	digium	asterisk	14.1	-
运行在以下环境
应用	digium	asterisk	14.1.0	-
运行在以下环境
应用	digium	asterisk	14.1.1	-
运行在以下环境
应用	digium	asterisk	14.1.2	-
运行在以下环境
应用	digium	asterisk	14.2	-
运行在以下环境
应用	digium	asterisk	14.2.0	-
运行在以下环境
应用	digium	asterisk	14.2.1	-
运行在以下环境
应用	digium	asterisk	14.3.0	-
运行在以下环境
应用	digium	certified_asterisk	*		Up to (including) 13.13-cert2
运行在以下环境
系统	debian	DPKG	*		Up to (excluding) 1:13.14.1~dfsg-1
运行在以下环境
系统	debian_10	asterisk	*		Up to (excluding) 1:13.14.1~dfsg-1
运行在以下环境
系统	debian_11	asterisk	*		Up to (excluding) 1:13.14.1~dfsg-1
运行在以下环境
系统	debian_sid	asterisk	*		Up to (excluding) 1:13.14.1~dfsg-1
运行在以下环境
系统	ubuntu_18.04.5_lts	asterisk	*		Up to (excluding) 1:13.18.3~dfsg-1ubuntu4
运行在以下环境
系统	ubuntu_18.10	asterisk	*		Up to (excluding) 1:13.18.3~dfsg-1ubuntu4

阿里云评分 2.7

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
CWE-119	内存缓冲区边界内操作的限制不恰当

Exp相关链接

- avd.aliyun.com