Nach einem Bericht von Secunia treten die Sicherheitslücken in folgenden Versionen von Asterisk auf:
-
Asterisk Open Source 1.0.x (Alle Versionen)
-
Asterisk Open Source 1.2.x (Versionen vor 1.2.30)
-
Asterisk Open Source 1.4.x (Versionen vor 1.4.21.2)
-
Asterisk Business Edition A.x.x (Alle Versionen)
-
Asterisk Business Edition B.x.x.x (Versionen vor B.2.5.4)
-
Asterisk Business Edition C.x.x.x (Versionen vor C.1.10.3)
-
AsteriskNOW pre-release (Alle Versionen)
-
Asterisk Appliance Developer Kit 0.x.x (Alle Versionen)
-
s800i (Asterisk Appliance) 1.0.x (Versionen vor 1.2.0.1)
Die erste Schwachstelle entsteht durch IAX2 „POKE“ Anforderungen. Durch gezielte Manipulation solcher Anforderungen können Angreifer alle IAX2 Rufnummern belegen und so einen Denial-of-Service gegen diesen Dienst durchführen. Die zweite Sicherheitslücke wird durch einen Fehler im Downloadprotokoll der Firmware ermöglicht. Über diese Lücke können Angreifer Datenpakete an beliebige Server mit gefälschter Absender-IP-Adresse versenden. Für zahlreiche Versionen von Asterisk stehen bereits entsprechende Patches gegen diese Lücken zum Download zur Verfügung. (vgw)