Vulnerabilidad en Denegación de servicio en diversos productos Asterisk por fallo en la negociación de llamadas (CVE-2007-4103)
Severidad:
ALTA
Type:
No Disponible / Otro tipo
Fecha de publicación:
31/07/2007
Última modificación:
08/02/2024
Descripción
El controlador de canal IAX2 (chan_iax2) de Asterisk Open 1.2.x anterior a 1.2.23, 1.4.x anterior a 1.4.9, y Asterisk Appliance Developer Kit anterior a 0.6.0, cuando está configurado para permitir llamadas no autenticadas, permite a atacantes remotos provocar una denegación de servicio (agotamiento de recursos) mediante una inundación de llamadas que no completan la negociación de 3 pasos, lo cual provoca que se reserve un canal ast_channel pero no se libere.
Impacto
Puntuación base 3.x
7.50
Severidad 3.x
ALTA
Puntuación base 2.0
7.80
Severidad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:digium:asterisk:*:*:*:*:*:*:*:* | 1.2.20 (incluyendo) | 1.2.23 (excluyendo) |
cpe:2.3:a:digium:asterisk:*:*:*:*:*:*:*:* | 1.4.0 (incluyendo) | 1.4.9 (excluyendo) |
cpe:2.3:a:digium:asterisk_appliance_developer_kit:*:*:*:*:*:*:*:* | 0.6.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://bugs.gentoo.org/show_bug.cgi?id=185713
- http://ftp.digium.com/pub/asa/ASA-2007-018.pdf
- http://osvdb.org/38197
- http://secunia.com/advisories/26274
- http://secunia.com/advisories/29051
- http://security.gentoo.org/glsa/glsa-200802-11.xml
- http://securityreason.com/securityalert/2960
- http://www.securityfocus.com/archive/1/475069/100/0/threaded
- http://www.securityfocus.com/bid/24950
- http://www.securitytracker.com/id?1018472=
- http://www.vupen.com/english/advisories/2007/2701