Asterisk-Update bereinigt zwei Sicherheitslücken

Ein Fehler besteht in der Verarbeitung von „IAX2 POKE“-Anfragen. Dies lässt sich ausnutzen, um alle IAX2-Rufnummern mittels multiplen „POKE“-Anfragen zu vereinnahmen. Der zweite Angriffspunkt ist das Firmware-Download-Protokoll, weil kein so genannter Handshake notwendig ist. Die Schwachstellen stufen die Sicherheitsexperten von Secunia als weniger kritisch ein, da sich diese lediglich aus dem internen Netzwerk ausnutzen lassen.

Bestätigt sind die Sicherheitslücken für folgende Produkte: Asterisk Open Source 1.0.x, Asterisk Open Source 1.2.x (alle Versionen vor 1.2.30), Asterisk Open Source 1.4.x (alle Versionen vor 1.4.21.2), Asterisk Business Edition A.x.x, Asterisk Business Edition B.x.x.x (alle Versionen vor B.2.5.4), Asterisk Business Edition C.x.x.x (alle Versionen vor C.1.10.3), AsteriskNOW pre-release, Asterisk Appliance Developer Kit 0.x.x und s800i (Asterisk Appliance) 1.0.x (alle Versionen vor 1.2.0.1). (jdo)