VoIP: Asterisk patcht Sicherheitslücke in SIP
Über manipulierte SIP-Nachrichten können Angreifer die VoIP-Software Asterisk zum Absturz bringen. Ein Patch beseitigt dieses Problem.
Nach einer Meldung von Secunia tritt die Sicherheitslücke in folgenden Versionen auf:
-
Asterisk Open Source 1.0.x
-
Asterisk Open Source 1.2.x (vor 1.2.29)
-
Asterisk Business Edition A.x.x
-
Asterisk Business Edition B.x.x (vor B.2.5.3)
Die Schwachstelle ist auf eine Nullzeiger-Referenzierung in der Funktion „ast_uri_decode()“ zurückzuführen. Angreifer, die das „From“ Feld aus einer SIP-Nachricht entfernen, können Asterisk zum Absturz bringen. Der Hersteller schließt die Sicherheitslücke mit den neuen Versionen 1.2.29 und B.2.5.3. (vgw)