关键信息摘要 漏洞描述: - 产品: Asterisk - 摘要: RTP堆栈中的远程崩溃漏洞 - 漏洞性质: 可利用的崩溃 - 漏洞影响: 远程未认证会话 - 严重性: 严重 - 已知利用情况: 无 - 报告日期: 2009年7月27日 - 报告人: Marcus Hunger CVE名称: CVE-2009-2725 漏洞详情: - 描述: 攻击者可以通过发送恶意形成的RTP文本帧来远程导致Asterisk崩溃。尽管攻击者可以导致Asterisk崩溃,但不能通过此漏洞执行任意远程代码。 受影响的版本: - Asterisk 开源版: - 1.2.x: 未受影响 - 1.4.x: 未受影响 - 1.6.x: 所有1.6.1版本受影响 - Asterisk 扩展包: - 1.2.x, 1.4.x, 1.6.x: 未受影响 - Asterisk 企业版: - A.x.x, B.x.x, C.x.x: 未受影响 - 其他版本: - AsteriskNOW 1.5: 未受影响 - s800i (Asterisk 设备): 未受影响 修复措施: - 需要升级到"已修复版本"一节中列出的相应版本上。 已修复的版本: - 产品: 开源Asterisk 1.6.1 - 版本: 1.6.1.2 补丁下载链接: - http://downloads.digium.com/pub/security/AST-2009-004-1.6.1.diff.txt (版本1.6.1) 历史修订记录: - 2009年7月27日由Mark Michelson进行的初稿 - 2009年7月31日由Mark Michelson加入一句说明远端代码不能执行 - 2009年8月2日由Tilghman Lesher进行的公开发布 - 2009年8月10日由Tilghman Lesher添加CVE标识符