CTI論壇(ctiforum)7月16日消息(編譯/鄧旭):企業(yè)應用和平臺的開(kāi)放源模式正在快速興起,各種規模的企業(yè)都一直在以更快的速度采用這些解決方案。這些產(chǎn)品的靈活性、升級能力和定制能力使之成為了世界各地企業(yè)的首選產(chǎn)品。
通信應用的開(kāi)放源框架Asterisk的開(kāi)發(fā)人員宣布,他們已經(jīng)成功解決了他們的開(kāi)放源PBX系統中的兩個(gè)拒絕服務(wù)的問(wèn)題。 免費開(kāi)放源框架Asterisk主要服務(wù)于IP PBX系統、VoIP網(wǎng)關(guān)和會(huì )議服務(wù)器,由Digium資助,并被世界各地的許多小企業(yè)、大企業(yè)、呼叫中心、運營(yíng)商和政府采用。
在新的開(kāi)發(fā)工作中,Asterisk的開(kāi)放源PBX系統中發(fā)現的兩個(gè)拒絕服務(wù)問(wèn)題與應用程序的邀請和語(yǔ)音郵件方面有關(guān),而且一直都包含在A(yíng)sterisk的1.8.11-cert4, 1.8.13.1, 10.5.2以及 10.5.2-digiumphones版本中。
第一個(gè)故障是通過(guò)所有現有的實(shí)時(shí)傳輸協(xié)議(RTP)端口連接Asterisk服務(wù)器來(lái)應對攻擊者,從而產(chǎn)生了拒絕服務(wù)的情況。后來(lái)發(fā)現,當Asterisk通過(guò)SIP協(xié)議向通話(huà)發(fā)出重新邀請并且端點(diǎn)用一個(gè)臨時(shí)的回答作出回應但是未能發(fā)送最終回應時(shí),該通話(huà)的RTP端口沒(méi)有被釋放。此外,如果這一過(guò)程連續重復多次,服務(wù)器就會(huì )脫離RTP端口,不能夠接收任何來(lái)電。
同樣,第二個(gè)故障是與Asterisk的語(yǔ)音郵件系統有關(guān)。只要兩方同時(shí)操縱Asterisk的同一個(gè)語(yǔ)音郵件賬戶(hù),存儲器就會(huì )釋放兩次,因此,服務(wù)器隨后崩潰。Asterisk 1.8.11-cert4, 1.8.13.1, 10.5.2 和10.5.2-digiumphones的概要包含了所有已發(fā)行版本中實(shí)施的修訂版的詳細信息,所有四個(gè)版本都可以從Asterisk服務(wù)器中下載。
聲明:版權所有 非合作媒體謝絕轉載
