Die Software-Telefonanlage Asterisk gewährt angemeldeten Nutzern aufgrund einer mangelnden Überprüfung von übergebenen Parametern im Webinterface den Zugriff auf beliebige wav-Dateien, auch auf gespeicherte Nachrichten anderer Nutzer. Der Fehler findet sich in der Datei vmail.cgi, die ein Web-Frontend zum Zugriff auf die gespeicherten Nachrichten darstellt.
Ein Zugriff mit der URL
http://asterisk.example.org/cgi-bin/vmail.cgi?
action=audio&folder=../201/INBOX&mailbox=200&
context=default&password=12345&msgid=0001&format=wavliefert laut der Sicherheitsmeldung von Assurance.com.au beispielsweise die Nachricht msg0001.wav des Benutzers 201 an den angemeldeten Benutzer 200 aus.
Betroffen sind die Asterisk-Versionen 1.0.9 sowie 1.2.0-Beta1 und ältere sowie Asterisk@Home in den Versionen 1.5 und 2.0-Beta4 und vorherige. Laut dem Entdecker der Lücke, Adam Pointon, sind die Patches in das Asterisk-CVS eingeflossen, von dort aus können betroffene Administratoren den fehlerbereinigten Code herunterladen und einpflegen.
Siehe dazu auch:
* Security Advisory von Adam Pointon
* Download-Seite von Asterisk mit Anleitung zum CVS-Zugriff
Quelle und Links :
http://www.heise.de/newsticker/meldung/65863
