Neues Leck im VoIP-System Asterisk

NetzwerkeSicherheitSicherheitsmanagementVoIP

Wer Internet-Telefonanlagen mit Hilfe des OpenSource-Systems Asterisk betreibt, könnte auf Betreiben von böswilligen Hackern bald “sprachlos” sein.

Ein neues Sicherheitleck in der OpenSource-Lösung Asterisk für Internet-Telefonie ist aufgetaucht. Wenn es ausgenutzt wird, könnten bösartige Hacker einen Denial-of-Servie verursachen, schreiben die Sicherheitsexperten von Secunia.

Die Lücke ist begründet im “SIP Dialog History of SIP channel driver” (chan_sip), der vorangegangene Anrufe mit 88 Bytes pro Vorfall aufzeichnet. Wenn aber zu viele Vorfälle in zu kurzer Zeit mitgeloggt werden, gerät der dafür reservierte Speicher an sein Limit – und dann geht nichts mehr.

Asterisk-Versionen vor 1.4.11 und das Asterisk Appliance Developer Kit für VoIP-Anwendungs-Entwickler vor Versionen 0.8.0 und s800i (Asterisk Appliance) sind ebenso betroffen.

Als Lösung schlägt die Firma Digium, deren Mitarbeiter Jon Moldenauer das Problem zuerst meldete, einen Update von Asterisk auf Version 1.4.11 oder vom Developer Kit auf Version 0.8.0 vor. (mk)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen