Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

кто еще работает с астерисками до 1.8.19.1, обновляйтесь

0

ознакомтесь.

http://seclists.org/fulldisclosure/2013/Jan/11

http://seclists.org/fulldisclosure/2013/Jan/10

если коротко, то iax,sip имеет уязвимости судя повсему с 1.8.0 и до 1.8.19.1. возможно и в более ранних, но они не подерживаются)

удалить закрыть спам изменить тег редактировать

спросил 2013-02-14 12:51:38 +0400

meral Gravatar meral flag of Ukraine
23347 24 20 177
http://pro-sip.net/

Comments

Attackers exploiting this vulnerability
can attack an Asterisk system configured to allow anonymous
calls by varying the source of the anonymous call,
continually adding devices to the device state cache and
consuming a system's resources.

это раз.

zzuz ( 2013-02-14 13:36:13 +0400 )редактировать

Asterisk has several places where messages received over
various network transports may be copied in a single stack
allocation. In the case of TCP, since multiple packets in a
stream may be concatenated together, this can lead to large
allocations that overflow the stack.

это два.

zzuz ( 2013-02-14 13:36:35 +0400 )редактировать

тоесть вас это не касается,у вас нет глючных провайдеров которым надо guestallow. замечательно. tcp тогад выключите в конфиге.

meral ( 2013-02-14 13:43:49 +0400 )редактировать

allowquest обычно идет с пермитами и денаями , а tcp работу все равно не улудшает , за что и не включается.

zzuz ( 2013-02-14 13:48:05 +0400 )редактировать

ну я ж ламер да. забейте. вас не касается? не читаем.

meral ( 2013-02-14 13:49:15 +0400 )редактировать

Никто и не говорит о том, что это нас не касается . Я например , эти репорты уже видел. Но особой паники не вижу смысла поднимать. Эти две заметки в теме вопроса лишь капля в море багрепортов существующих проблем.

zzuz ( 2013-02-14 13:55:31 +0400 )редактировать

1 Ответ

0

Как я понял, данные уязвимости имеют опасность только при определенных условиях?

http://seclists.org/fulldisclosure/2013/Jan/11:

"...One way that this currently occurs is when anonymous calls are allowed in Asterisk."

http://seclists.org/fulldisclosure/2013/Jan/10:

"...Keep in mind that SIP over UDP is not affected by this vulnerability."
ссылка удалить спам редактировать

ответил 2013-02-14 13:35:06 +0400

CyberDeniX Gravatar CyberDeniX
1 1

Comments

ага. но 1 очень часто включено. и 2 включено по умолчанию в последних астерисках.

meral ( 2013-02-14 13:42:43 +0400 )редактировать

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2013-02-14 12:51:38 +0400

Просмотрен: 369 раз

Обновлен: Feb 14 '13

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.