Asterisk IAX2での呼び出し番号枯渇のDoS

medium Nessus プラグイン ID 40885

概要

リモートVoIPサービスは、サービス拒否攻撃を受けやすくなっています。

説明

リモートホストで実行されているAsteriskのバージョンは、呼び出しトークン検証をサポートしない、IAX2プロトコルの古い実装を使用しているようです。プロトコルのデザインの欠陥により、リモートの攻撃者が多数のメッセージを送信し、プロセスで利用できるすべてのコール番号を使い果たす可能性があります。これにより、正当なユーザーへのサービス拒否が発生します。

ソリューション

ベンダーのアドバイザリで言及されている、該当するバージョンのAsteriskにアップグレードしてください。

参考資料

http://downloads.asterisk.org/pub/security/AST-2009-006.html

https://www.securityfocus.com/archive/1/archive/1/506257/100/0/threaded

プラグインの詳細

深刻度: Medium

ID: 40885

ファイル名: asterisk_iax2_call_number_dos.nasl

バージョン: 1.17

タイプ: remote

ファミリー: Denial of Service

公開日: 2009/9/8

更新日: 2018/11/15

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: cpe:/a:asterisk:open_source

必要な KB アイテム: Services/udp/iax2

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2009/9/3

脆弱性公開日: 2009/6/12

参照情報

CVE: CVE-2009-2346

BID: 36275

CWE: 119

Secunia: 36593