| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine kritische Schwachstelle in Digium Asterisk bis 1.2.10 ausgemacht. Hiervon betroffen ist ein unbekannter Codeblock der Komponente Call Request Handler. Mit der Manipulation mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden. Ein Angriff ist aus der Distanz möglich. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Asterisk ist eine open-source Software, die alle Funktionalitäten einer herkömmlichen Telefonanlage bietet. Wie das ISS X-Force Team meldet, existiert eine Denial of Service-Schwachstelle. Durch das Umsetzen einer Vielzahl an Call Requests (Flooding) kann das System zum Absturz gebracht werden. Der Fehler wurde in der Asterisk Version 1.2.10 behoben. Zudem soll die maxauthreq Option genutzt werden, um die Anzahl der gleichzeitigen nicht-authentisierten Anrufe zu limitieren. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (25847), SecurityFocus (BID 19009†), OSVDB (27346†) und Secunia (SA21071†) dokumentiert. Unter networkworld.com werden zusätzliche Informationen bereitgestellt. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Dieses Problem ist ziemlich schwerwiegend, denn die Schwachstelle ist sehr einfach remote auszunutzen. Aus diesem Grund sollte man umgehend die aktuellste Version einspielen und die Sicherheitseinstellungen anpassen.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.digium.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.5VulDB Meta Temp Score: 5.7
VulDB Base Score: 6.5
VulDB Temp Score: 5.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Unbewiesen
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: ftp.digium.com
Timeline
17.07.2006 🔍17.07.2006 🔍
17.07.2006 🔍
20.07.2006 🔍
24.12.2017 🔍
Quellen
Hersteller: digium.comAdvisory: xforce.iss.net
Person: Tom Cross
Firma: ISS X-Force
Status: Bestätigt
GCVE (VulDB): GCVE-100-2381
X-Force: 25847 - Asterisk PBX IAX2 protocol call request flood denial of service, Medium Risk
SecurityFocus: 19009 - Asterisk IAX2 Request Flood Remote Denial of Service Vulnerability
Secunia: 21071 - Asterisk IAX2 Call Request Flooding Denial of Service, Less Critical
OSVDB: 27346 - Asterisk IAX2 Call Request Flood Remote DoS
Diverses: 🔍
Eintrag
Erstellt: 20.07.2006 12:45Aktualisierung: 24.12.2017 09:33
Anpassungen: 20.07.2006 12:45 (62), 24.12.2017 09:33 (2)
Komplett: 🔍
Cache ID: 216:95B:103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.