首頁(yè)>>>技術(shù)>>>VoIP首頁(yè)>>>技術(shù)>>>VoIP

Asterisk開發(fā)團(tuán)隊(duì)安全建議:SIP堆棧溢出錯(cuò)誤

2011/01/24

  Asterisk開發(fā)團(tuán)隊(duì)日前發(fā)布一個(gè)安全建議,鑒于SIP通道驅(qū)動(dòng)發(fā)現(xiàn)一個(gè)堆棧緩沖區(qū)溢出錯(cuò)誤,將會(huì)影響遠(yuǎn)程認(rèn)證會(huì)話。這項(xiàng)錯(cuò)誤是在2011年1月11號(hào)報(bào)告的,盡管嚴(yán)重等級(jí)為中等,Asterisk團(tuán)隊(duì)還是在1月18日發(fā)布了這個(gè)錯(cuò)誤,并即時(shí)發(fā)布了各版本Asterisk的軟件補(bǔ)丁。 據(jù)報(bào)告,影響的版本包括從1.2開始到1.8的所有版本,以及AsteriskNow、商業(yè)版等。

  錯(cuò)誤描述:當(dāng)按照原樣來(lái)轉(zhuǎn)發(fā)一個(gè)SIP外呼的時(shí)候,如果來(lái)電方提供的主叫號(hào)碼是有針對(duì)性地惡意信息,會(huì)造成堆棧緩沖區(qū)溢出。 這個(gè)漏洞也影響URIENCODE撥號(hào)規(guī)則功能,在某些版本中,還將影響AGI。 主要原因是ast_uri_encode函數(shù)沒有正確處理輸出緩沖區(qū)的大小。

  除了軟件補(bǔ)丁外,還可以在Dialplan里對(duì)URI編碼限制到40個(gè)字符的長(zhǎng)度,也將防止此漏洞。

  復(fù)制代碼
  1. exten => s,1,Set(CALLERID(num)=${CALLERID(num):0:40})
  2. exten => s,n,Set(CALLERID(name)=${CALLERID(name):0:40})
  3. exten => s,n,Dial(SIP/channel)
   CALLERID(num) 和 CALLERID(name)通道值,以及其他會(huì)傳遞給 URIENCODE 函數(shù)的參數(shù)都需要作類似的限制。

51Asterisk


相關(guān)閱讀:
OpenVox發(fā)布可調(diào)整中斷號(hào)的數(shù)字中繼系列語(yǔ)音卡 2011-01-21
開源帶來(lái)監(jiān)管不利Android手機(jī)“吸金” 2011-01-14
[英文]CRN:了解15個(gè)開放源代碼PBX和VoIP產(chǎn)品 2011-01-10
Digium Switchvox產(chǎn)品銷售2010年猛增3成 2011-01-07
Asterisk世界活動(dòng)將于明年2月重返ITEXPO 2010-12-13

熱點(diǎn)專題:  VoIP    開源軟件
分類信息:  開源軟件_與_VoIP  開源軟件_與_開源通信技術(shù)  VoIP_與_開源通信技術(shù)
 相關(guān)頻道:  SIP    
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩 金川县| 遵化市| 城口县| 铜鼓县| 府谷县| 德兴市| 石门县| 乐至县| 黄冈市| 陆丰市| 岗巴县| 仁布县| 烟台市| 凤台县| 辽阳县| 体育| 汽车| 防城港市| 贵港市| 红河县| 醴陵市| 新绛县| 慈利县| 汝城县| 秦安县| 阿城市| 乌恰县| 依兰县| 临邑县| 宣威市| 武平县| 林州市| 肇庆市| 施甸县| 宜良县| 天气| 建水县| 合川市| 文登市| 炉霍县| 正蓝旗| http://444 http://444 http://444 http://444 http://444 http://444