Digium Asterisk bis 1.2.9.1 IAX2 Channel-Treiber Client Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.5 | $0-$5k | 0.00 |
Zusammenfassung
In Digium Asterisk bis 1.2.8 wurde eine Schwachstelle gefunden. Sie wurde als problematisch eingestuft. Betroffen ist eine unbekannte Funktion der Komponente IAX2 Channel Driver. Mittels dem Manipulieren mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2006-2898 geführt. Ein Angriff ist aus der Distanz möglich. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Asterisk ist eine open-source Software, die alle Funktionalitäten einer herkömmlichen Telefonanlage bietet. Wie das Projekt-Team meldet, existiert eine Denial of Service-Schwachstelle im IAX2 Channel-Treiber chan_iax2. Dies kann zu mehr oder wenig zufälligen Abstürzen des Asterisk-Servers führen, die durch einen Client provoziert werden können. Weitere Details oder ein Exploit sind nicht bekannt. Der Fehler wurde in den Versionen 1.0.11.1 und 1.2.9.1 behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (27045), Tenable (22668), SecurityFocus (BID 18295†), OSVDB (26187†) und Secunia (SA21222†) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Für den Vulnerability Scanner Nessus wurde am 14.10.2006 ein Plugin mit der ID 22668 (Debian DSA-1126-1 : asterisk - buffer overflow) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Debian Local Security Checks zugeordnet.
Obschon bisher noch keine technischen Informationen zur besagten Denial of Service-Verwundbarkeit bekannt sind, sollte man ein Update auf die neueste Version nicht hinausschieben. Es ist nur eine Frage der Zeit, bis die ersten Exploits zur automatisierten Ausnutzung der Schwachstelle in bestimmten Kreisen die Runde machen.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.digium.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.5VulDB Meta Temp Score: 6.5
VulDB Base Score: 7.5
VulDB Temp Score: 6.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 22668
Nessus Name: Debian DSA-1126-1 : asterisk - buffer overflow
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 57162
OpenVAS Name: Debian Security Advisory DSA 1126-1 (asterisk)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: ftp.digium.com
Snort ID: 6513
Snort Message: EXPLOIT Asterisk IAX2 truncated video mini-frame packet overflow attempt
Snort Pattern: 🔍
Timeline
06.06.2006 🔍07.06.2006 🔍
07.06.2006 🔍
07.06.2006 🔍
07.06.2006 🔍
07.06.2006 🔍
19.06.2006 🔍
27.07.2006 🔍
14.10.2006 🔍
13.03.2021 🔍
Quellen
Hersteller: digium.comAdvisory: asterisk.org
Person: Damian
Firma: Asterisk Team
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2006-2898 (🔍)
GCVE (CVE): GCVE-0-2006-2898
GCVE (VulDB): GCVE-100-2300
X-Force: 27045 - Asterisk IAX2 channel driver truncated video frame buffer overflow, High Risk
SecurityFocus: 18295 - Asterisk IAX2 Remote Buffer Overflow Vulnerability
Secunia: 21222 - Debian update for asterisk, Moderately Critical
OSVDB: 26187 - Asterisk chan_iax2 IAX2 Channel Driver Unspecified DoS
SecurityTracker: 1016236 - Asterisk IAX2 Channel Driver Lets Remote Users Deny Service
Vupen: ADV-2006-2181
Eintrag
Erstellt: 19.06.2006 11:11Aktualisierung: 13.03.2021 08:08
Anpassungen: 19.06.2006 11:11 (91), 24.12.2017 09:42 (5), 13.03.2021 08:08 (3)
Komplett: 🔍
Cache ID: 216:617:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.