Исправлена уязвимость в IAX2 канале.

Skip to end of metadata
Go to start of metadata


6-го января 2009 года вышла новая версия Asterisk, а точнее, новые версии Asterisk разных веток, исправляющие критическую, на мой взгляд, уязвимость. Новые версии доступны с сайта  Digium:

Суть уязвимости заключается в следующем. При аутентификации входящего звонка тип ответа в случае неправильного пароля отличается от типа ответа в случае, когда пользователя не существует. Это позволяет проводить атаку на IP АТС типа "грубой силы" (brute force), сперва обнаружив существующих пользователей, а затем перебрав их пароли. Безусловно, при достаточно длинном пароле и включенном delayreject=yes подобрать пароль практически невозможно, но кто использует хорошие пароли? 

В открытом доступе  существует утилита-эксплойт данной уязвимости.

Обновляетесь 

Enter labels to add to this page:
Please wait 
Looking for a label? Just start typing.