首页>>>技术>>>VoIP首页>>>技术>>>VoIP

Asterisk开发团队安全建议:SIP堆栈溢出错误

2011/01/24

  Asterisk开发团队日前发布一个安全建议,鉴于SIP通道驱动发现一个堆栈缓冲区溢出错误,将会影响远程认证会话。这项错误是在2011年1月11号报告的,尽管严重等级为中等,Asterisk团队还是在1月18日发布了这个错误,并即时发布了各版本Asterisk的软件补丁。 据报告,影响的版本包括从1.2开始到1.8的所有版本,以及AsteriskNow、商业版等。

  错误描述:当按照原样来转发一个SIP外呼的时候,如果来电方提供的主叫号码是有针对性地恶意信息,会造成堆栈缓冲区溢出。 这个漏洞也影响URIENCODE拨号规则功能,在某些版本中,还将影响AGI。 主要原因是ast_uri_encode函数没有正确处理输出缓冲区的大小。

  除了软件补丁外,还可以在Dialplan里对URI编码限制到40个字符的长度,也将防止此漏洞。

  复制代码
  1. exten => s,1,Set(CALLERID(num)=${CALLERID(num):0:40})
  2. exten => s,n,Set(CALLERID(name)=${CALLERID(name):0:40})
  3. exten => s,n,Dial(SIP/channel)
   CALLERID(num) 和 CALLERID(name)通道值,以及其他会传递给 URIENCODE 函数的参数都需要作类似的限制。

51Asterisk


相关阅读:
OpenVox发布可调整中断号的数字中继系列语音卡 2011-01-21
开源带来监管不利Android手机“吸金” 2011-01-14
[英文]CRN:了解15个开放源代码PBX和VoIP产品 2011-01-10
Digium Switchvox产品销售2010年猛增3成 2011-01-07
Asterisk世界活动将于明年2月重返ITEXPO 2010-12-13

热点专题:  VoIP    开源软件
分类信息:  开源软件_与_VoIP  开源软件_与_开源通信技术  VoIP_与_开源通信技术
 相关频道:  SIP