Asterisk IAX2の複数メソッドハンドシェイクスプーフィングのDoS
medium Nessus プラグイン ID 32132
Language:
概要
リモートVoIPサービスが悪用されて、サードパーティホストに対して増幅攻撃が行われる可能性があります。説明
リモートホストで実行されているAsteriskのバージョンは、IAX2ハンドシェイクを適切に検証しません。NEWおよびACKメッセージを偽装することで、認証されていないリモートの攻撃者がこの問題を利用し、オーディオデータを含む影響を受けるホストからのパケットをサードパーティのホストに大量に送信する可能性があります。ソリューション
Asterisk 1.4.20/1.2.28、Asterisk Business Edition C.1.8.1/B.2.5.2、AsteriskNOW 1.0.3、s800i(Asterisk Appliance)1.1.0.3以降にアップグレードしてください。参考資料
https://www.altsci.com/concepts/page.php?s=asteri&p=2
プラグインの詳細
深刻度: Medium
ID: 32132
ファイル名: asterisk_iax2_spoofed_handshake.nasl
バージョン: 1.21
タイプ: remote
ファミリー: Denial of Service
公開日: 2008/5/6
更新日: 2018/11/15
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
脆弱性情報
CPE: cpe:/a:asterisk:open_source
必要な KB アイテム: Services/udp/iax2
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2008/4/22
参照情報
CVE: CVE-2008-1897, CVE-2008-1923
BID: 28901