Die Entwickler der Open-Source Telefonie-Software Asterisk haben in den Versionen 1.2.16 und 1.4.1 eine Schwachstelle geschlossen, mit der sich der Dienst zum Absturz bringen lässt. Ein Angreifer kann durch den Bug die Telefonie außer Gefecht setzen.
Dazu genügte es, ein präpariertes REGISTER-Paket an den SIP-Port 5060 zu schicken. In der Folge musste der Dienst neu gestartet werden. Ein Programm, das die Lücke demonstrieren soll, ist bereits öffentlich verfügbar. Sofern der Dienst auf embedded Systemen läuft, kann ein Neustart des Gerätes erforderlich sein. Die Entwickler empfehlen die neuen Versionen so bald wie möglich zu installieren. In Version 1.4.1 ist zudem die Shared Line Appearance (SLA) vollständig überarbeitet worden.
Siehe dazu auch:
* Asterisk 1.4.1 Released, Meldung der Asterisk-Entwickler
* Asterisk 1.2.16 Released, Meldung der Asterisk-Entwickler
Quelle und Links :
http://www.heise.de/security/news/meldung/86204
