Asterisk 在呼叫发起期间容易通过 DTLS Hello 数据包遭受拒绝服务 (CVE-2023-49786)
CVE编号
CVE-2023-49786利用情况
暂无补丁情况
N/A披露时间
2023-12-15漏洞描述
Asterisk是一款开源的私有分支交换和电话工具包。在Asterisk的18.20.1、20.5.1和21.0.1版本以及18.9-cert6之前的认证版中存在漏洞。当处理媒体设置的DTLS-SRTP时,DTLS协议的hello握手阶段存在竞争条件,导致拒绝服务攻击。攻击者可以连续进行此攻击,从而导致受攻击的Asterisk服务器无法建立新的DTLS-SRTP加密通话。滥用此漏洞可能会对依赖于DTLS-SRTP的通话造成大规模的拒绝服务。修复此漏洞的提交d7d7764cb07c8a1872804321302ef93bf62cba05包含在18.20.1、20.5.1、21.0.1和18.9-cert6版本中。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 系统 | debian_10 | asterisk | * | Up to (including) 16.2.1~dfsg-1+deb10u2 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_11 | asterisk | * | Up to (including) 16.28.0~dfsg-0+deb11u3 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_sid | asterisk | * | Up to (including) 20.5.0~dfsg+~cs6.13.40431414-1 | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 无
- 完整性 无
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论