Zwei Lücken in Telefonanlagensoftware Asterisk geschlossen

In Version 1.4.2 der Telefonanlagensoftware Asterisk wurden zwei Schwachstellen geschlossen, mit denen ein Angreifer ein System zum Absturz hätte bringen können. Der erste Fehler tritt bei der Verarbeitung von SIP-INVITE-Paketen mit präparierten Headern auf, bei denen im Session Description Protocol (SDP) eine gültige und eine ungültige IP-Adresse definiert ist. Da ein SIP-INVITE-Paket das erste Paket eines SIP-Verbindungsaufbaus ist, reicht zum Lahmlegen eines SIP-Telefons oder einer Anlage ein einziges UDP-Paket. Dieser Fehler ist auch in Version 1.2.17 behoben.

Der zweite Absturz tritt beim Empfang von Antworten anderer Systeme auf, wenn der SIP Response Code im Paket auf 0 gesetzt ist. Die Version 1.2.x ist von diesem Fehler nicht betroffen. Die Entwickler empfehlen Anwendern, die eine Asterisk-Anlage an einem öffentlichen, nicht vertrauenswürdigen Netz betreiben, einen baldigen Upgrade. Nebenbei haben die Entwickler auch den Support für Shared Line Appearance (SLA) verbessert.

Erst vor knapp zwei Wochen mussten die Asterisk-Entwickler ein Update ihrer Software herausgeben, um eine DoS-Lücke zu schließen: Fehlerhafte REGISTER-Pakete brachten die Software aus dem Tritt.

Siehe dazu auch:

• Asterisk 1.4.2 released, Releasenotes von Asterisk
• Asterisk SDP DOS vulnerability, Fehlerbericht vom Madynes Research Team
• Asterisk segfaults upon receipt of a certain SIP packet (SIP Response code 0), Fehlerbericht von Digium

(dab)