СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
27.09.2023
#Dev#ИБ

Уязвимость BDU:2023-08816

Уязвимость BDU:2023-08816

Идентификатор: BDU:2023-08816.

Наименование уязвимости: Уязвимость реализации протоколов DTLS (Datagram Transport Layer Security) и SRTP (Secure Real-time Transport Protocol) систем управления IP-телефонией Asterisk и Certified Asterisk, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость реализации протоколов DTLS (Datagram Transport Layer Security) и SRTP (Secure Real-time Transport Protocol) систем управления IP-телефонией Asterisk и Certified Asterisk вызвана состоянием гонки при обработке сообщения ClientHello. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Уязвимое ПО: Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Сетевое программное средство Digium, Inc. Asterisk до 18.20.0 включительно | Сетевое программное средство Digium, Inc. Asterisk от 19.8.1 до 20.5.0 включительно | Сетевое программное средство Digium, Inc. Asterisk 21.0.0 | Сетевое программное средство Digium, Inc. Certified Asterisk до 18.9-cert5 включительно | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.10 |

Наименование ОС и тип аппаратной платформы: РЕД ОС 73 | ОСОН ОСнова Оnyx до 210 |
Дата выявления: 27.09.2023.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/EnableSecurity/advisories/tree/master/ES2023-01-asterisk-dtls-hello-race
https://github.com/asterisk/asterisk/releases
https://github.com/asterisk/asterisk/commit/d7d7764cb07c8a1872804321302ef93bf62cba05
https://github.com/asterisk/asterisk/security/advisories/GHSA-hxj9-xwr8-w8pq

Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения asterisk до версии 1:18.14.0~dfsg+~cs6.12.40431414-1really16.28.0~dfsg-0+deb10u4

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-49786.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://packetstormsecurity.com/files/176251/Asterisk-20.1.0-Denial-Of-Service.html
http://www.openwall.com/lists/oss-security/2023/12/15/7
https://github.com/EnableSecurity/advisories/tree/master/ES2023-01-asterisk-dtls-hello-race
https://github.com/asterisk/asterisk/commit/d7d7764cb07c8a1872804321302ef93bf62cba05
https://github.com/asterisk/asterisk/security/advisories/GHSA-hxj9-xwr8-w8pq
https://vuldb.com/ru/?id.248121
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.10/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: