N/A

The IAX2 protocol implementation in Asterisk Open Source 1.2.x before 1.2.35, 1.4.x before 1.4.26.2, 1.6.0.x before 1.6.0.15, and 1.6.1.x before 1.6.1.6; Business Edition B.x.x before B.2.5.10, C.2.x before C.2.4.3, and C.3.x before C.3.1.1; and s800i 1.3.x before 1.3.0.3 allows remote attackers to cause a denial of service (call-number exhaustion) by initiating many IAX2 message exchanges, a related issue to CVE-2008-3263.

N/A

N/A

Asterisk IAX2协议呼叫号码拒绝服务漏洞

Asterisk是开放源码的软件PBX，支持各种VoIP协议和设备。 Asterisk的IAX2协议使用呼叫号码将消息关联到呼叫，但协议将消息中的呼叫号码字段大小定义为固定的15位，因此如果使用了所有的呼叫号码，就无法处理更多的会话。 会在开始IAX2消息交换时创建呼叫号码，因此攻击者可以发送大量的消息耗尽呼叫号码空间。还可以使用伪造的源IP地址来进行攻击，因为在分配呼叫号码之前不需要握手。

N/A

N/A