DoS-Attacken gegen VoIP Asterisk gemeldet

Über zwei Schwachstellen in der Voice-Over-IP Software Asterisk können Angreifer Denial-of-Service Attacken gegen den Dienst durchführen.

Nach einem Bericht von Secunia treten die Sicherheitslücken in folgenden Versionen von Asterisk auf:

  • Asterisk Open Source 1.0.x (Alle Versionen)

  • Asterisk Open Source 1.2.x (Versionen vor 1.2.30)

  • Asterisk Open Source 1.4.x (Versionen vor 1.4.21.2)

  • Asterisk Business Edition A.x.x (Alle Versionen)

  • Asterisk Business Edition B.x.x.x (Versionen vor B.2.5.4)

  • Asterisk Business Edition C.x.x.x (Versionen vor C.1.10.3)

  • AsteriskNOW pre-release (Alle Versionen)

  • Asterisk Appliance Developer Kit 0.x.x (Alle Versionen)

  • s800i (Asterisk Appliance) 1.0.x (Versionen vor 1.2.0.1)

Die erste Schwachstelle entsteht durch IAX2 „POKE“ Anforderungen. Durch gezielte Manipulation solcher Anforderungen können Angreifer alle IAX2 Rufnummern belegen und so einen Denial-of-Service gegen diesen Dienst durchführen. Die zweite Sicherheitslücke wird durch einen Fehler im Downloadprotokoll der Firmware ermöglicht. Über diese Lücke können Angreifer Datenpakete an beliebige Server mit gefälschter Absender-IP-Adresse versenden. Für zahlreiche Versionen von Asterisk stehen bereits entsprechende Patches gegen diese Lücken zum Download zur Verfügung. (vgw)