Digium Asterisk bis 1.4.10 IAX2 Channel Driver Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.2 | $0-$5k | 0.00 |
Es wurde eine kritische Schwachstelle in Digium Asterisk bis 1.4.10 (Communications System) gefunden. Es betrifft unbekannter Code der Komponente IAX2 Channel Driver. Durch Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-16 vorgenommen. Dies hat Einfluss auf die Verfügbarkeit. Die Zusammenfassung von CVE lautet:
The IAX2 channel driver (chan_iax2) in Asterisk 1.2 before revision 72630 and 1.4 before revision 65679, when configured to allow unauthenticated calls, sends "early audio" to an unverified source IP address of a NEW message, which allows remote attackers to cause a denial of service (traffic amplification) via a spoofed NEW message.Die Schwachstelle wurde am 23.04.2008 (Website) publiziert. Bereitgestellt wird das Advisory unter xforce.iss.net. Die Identifikation der Schwachstelle wird mit CVE-2008-1923 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1592.004 aus.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 32132 (Asterisk IAX2 Multiple Method Handshake Spoofing DoS) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Denial of Service zugeordnet.
Ein Aktualisieren auf die Version 1.4.11 vermag dieses Problem zu lösen. Weiterführend können Angriffe durch TippingPoint mittels dem Filter 22612 erkannt werden.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (42049) und Tenable (32132) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 42104.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.5VulDB Meta Temp Score: 7.2
VulDB Base Score: 7.5
VulDB Temp Score: 7.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-16
ATT&CK: T1592.004
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 32132
Nessus Name: Asterisk IAX2 Multiple Method Handshake Spoofing DoS
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Asterisk 1.4.11
TippingPoint: 🔍
Timeline
23.04.2008 🔍23.04.2008 🔍
23.04.2008 🔍
23.04.2008 🔍
11.05.2008 🔍
16.03.2015 🔍
31.07.2021 🔍
Quellen
Hersteller: digium.comAdvisory: xforce.iss.net
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2008-1923 (🔍)
X-Force: 42049
Vulnerability Center: 18331 - Asterisk IAX2 Channel Driver Vulnerability Allows Remote Attackers to Cause a DoS via a NEW Message, Medium
Siehe auch: 🔍
Eintrag
Erstellt: 16.03.2015 17:00Aktualisierung: 31.07.2021 20:08
Anpassungen: 16.03.2015 17:00 (53), 24.12.2017 09:36 (8), 31.07.2021 20:01 (4), 31.07.2021 20:08 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.