安全研究

安全漏洞
Asterisk CallerID电话详细记录SQL注入漏洞

发布日期:2003-09-04
更新日期:2003-09-18

受影响系统:
Asterisk Asterisk 0.4
Asterisk Asterisk 0.3
Asterisk Asterisk 0.2
Asterisk Asterisk 0.1.9-1
Asterisk Asterisk 0.1.9
Asterisk Asterisk 0.1.8
Asterisk Asterisk 0.1.7
描述:
BUGTRAQ  ID: 8599
CVE(CAN) ID: CVE-2003-0779

Asterisk是一款PBX系统的软件,运行在Linux系统上,支持使用SIP,IAX,H323协议进行IP通话。

Call Detail Records (CDRs)在日志记录功能中对CallerID字符传缺少充分检查,远程攻击者可以利用这个漏洞操作Asterisk数据库信息。

Call Detail Records (CDRs)是由电话系统生成的为了执行帐单和费率功能的数据库系统。其中包含多个字段可以鉴别用户信息,如源和目的打电话地址,CallerID等信息。由于对CallerID的字符串缺少充分过滤,如果攻击者提交畸形CallerID的字符串(包含SQL命令)可导致更改原系统的SQL逻辑,破坏数据库系统或获得数据库敏感信息。

<*来源:@stake advisories (advisories@atstake.com
  
  链接:http://www.atstake.com/research/advisories/2003/a091103-1.txt
*>

建议:
厂商补丁:

Asterisk
--------
CVS as of September 9, 2003已经修补这个漏洞:

http://www.asterisk.org/

浏览次数:2855
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障