首頁>>>技術(shù)>>>VoIP首頁>>>技術(shù)>>>VoIP

Asterisk開發(fā)團隊安全建議:SIP堆棧溢出錯誤

2011/01/24

  Asterisk開發(fā)團隊日前發(fā)布一個安全建議,鑒于SIP通道驅(qū)動發(fā)現(xiàn)一個堆棧緩沖區(qū)溢出錯誤,將會影響遠程認(rèn)證會話。這項錯誤是在2011年1月11號報告的,盡管嚴(yán)重等級為中等,Asterisk團隊還是在1月18日發(fā)布了這個錯誤,并即時發(fā)布了各版本Asterisk的軟件補丁。 據(jù)報告,影響的版本包括從1.2開始到1.8的所有版本,以及AsteriskNow、商業(yè)版等。

  錯誤描述:當(dāng)按照原樣來轉(zhuǎn)發(fā)一個SIP外呼的時候,如果來電方提供的主叫號碼是有針對性地惡意信息,會造成堆棧緩沖區(qū)溢出。 這個漏洞也影響URIENCODE撥號規(guī)則功能,在某些版本中,還將影響AGI。 主要原因是ast_uri_encode函數(shù)沒有正確處理輸出緩沖區(qū)的大小。

  除了軟件補丁外,還可以在Dialplan里對URI編碼限制到40個字符的長度,也將防止此漏洞。

  復(fù)制代碼
  1. exten => s,1,Set(CALLERID(num)=${CALLERID(num):0:40})
  2. exten => s,n,Set(CALLERID(name)=${CALLERID(name):0:40})
  3. exten => s,n,Dial(SIP/channel)
   CALLERID(num) 和 CALLERID(name)通道值,以及其他會傳遞給 URIENCODE 函數(shù)的參數(shù)都需要作類似的限制。

51Asterisk


相關(guān)閱讀:
OpenVox發(fā)布可調(diào)整中斷號的數(shù)字中繼系列語音卡 2011-01-21
開源帶來監(jiān)管不利Android手機“吸金” 2011-01-14
[英文]CRN:了解15個開放源代碼PBX和VoIP產(chǎn)品 2011-01-10
Digium Switchvox產(chǎn)品銷售2010年猛增3成 2011-01-07
Asterisk世界活動將于明年2月重返ITEXPO 2010-12-13

熱點專題:  VoIP    開源軟件
分類信息:  開源軟件_與_VoIP  開源軟件_與_開源通信技術(shù)  VoIP_與_開源通信技術(shù)
 相關(guān)頻道:  SIP    
龙江县| 民权县| 阜新市| 都安| 色达县| 榆中县| 定兴县| 汉源县| 夏邑县| 泰州市| 贺兰县| 修水县| 安远县| 科尔| 友谊县| 永丰县| 抚顺市| 灵璧县| 萨迦县| 彰化县| 呼伦贝尔市| 沈阳市| 西宁市| 毕节市| 桑日县| 靖江市| 嘉黎县| 阿拉善左旗| 榕江县| 永新县| 临澧县| 恭城| 连城县| 廉江市| 林芝县| 米林县| 吴江市| 怀仁县| 长岭县| 濉溪县| 岱山县|