Asterisk開發(fā)團(tuán)隊(duì)安全建議：SIP堆棧溢出錯(cuò)誤_開源軟件_VOIP

Asterisk開發(fā)團(tuán)隊(duì)安全建議：SIP堆棧溢出錯(cuò)誤

2011/01/24

　　Asterisk開發(fā)團(tuán)隊(duì)日前發(fā)布一個(gè)安全建議，鑒于SIP通道驅(qū)動(dòng)發(fā)現(xiàn)一個(gè)堆棧緩沖區(qū)溢出錯(cuò)誤，將會(huì)影響遠(yuǎn)程認(rèn)證會(huì)話。這項(xiàng)錯(cuò)誤是在2011年1月11號報(bào)告的，盡管嚴(yán)重等級為中等，Asterisk團(tuán)隊(duì)還是在1月18日發(fā)布了這個(gè)錯(cuò)誤，并即時(shí)發(fā)布了各版本Asterisk的軟件補(bǔ)丁。據(jù)報(bào)告，影響的版本包括從1.2開始到1.8的所有版本，以及AsteriskNow、商業(yè)版等。

　　錯(cuò)誤描述：當(dāng)按照原樣來轉(zhuǎn)發(fā)一個(gè)SIP外呼的時(shí)候，如果來電方提供的主叫號碼是有針對性地惡意信息，會(huì)造成堆棧緩沖區(qū)溢出。這個(gè)漏洞也影響URIENCODE撥號規(guī)則功能，在某些版本中，還將影響AGI。主要原因是ast_uri_encode函數(shù)沒有正確處理輸出緩沖區(qū)的大小。

　　除了軟件補(bǔ)丁外，還可以在Dialplan里對URI編碼限制到40個(gè)字符的長度，也將防止此漏洞。

　　復(fù)制代碼

exten => s,1,Set(CALLERID(num)=${CALLERID(num):0:40})
exten => s,n,Set(CALLERID(name)=${CALLERID(name):0:40})
exten => s,n,Dial(SIP/channel)

　　 CALLERID(num) 和 CALLERID(name)通道值，以及其他會(huì)傳遞給 URIENCODE 函數(shù)的參數(shù)都需要作類似的限制。

51Asterisk

開源帶來監(jiān)管不利Android手機(jī)“吸金” 2011-01-14

[英文]CRN：了解15個(gè)開放源代碼PBX和VoIP產(chǎn)品 2011-01-10

Digium Switchvox產(chǎn)品銷售2010年猛增3成 2011-01-07

Asterisk世界活動(dòng)將于明年2月重返ITEXPO 2010-12-13

熱點(diǎn)專題:  VoIP    開源軟件
分類信息:  開源軟件_與_VoIP  開源軟件_與_開源通信技術(shù)  VoIP_與_開源通信技術(shù)
相關(guān)頻道:  SIP

疏附县| 麦盖提县| 区。| 和平县| 凯里市| 寻乌县| 佛教| 石楼县| 加查县| 白朗县| 莱芜市| 琼中| 商城县| 大名县| 怀化市| 安庆市| 阿拉善盟| 岳西县| 乌鲁木齐市| 宁强县| 扶绥县| 堆龙德庆县| 涿鹿县| 莫力| 新和县| 博客| 定结县| 浮山县| 咸阳市| 古田县| 礼泉县| 华亭县| 葫芦岛市| 浦江县| 宣恩县| 即墨市| 江达县| 庄浪县| 潜山县| 开江县| 邵阳县|