Уязвимость BDU:2016-00893

Идентификатор: BDU:2016-00893.

Наименование уязвимости: Уязвимость системы управления IP-телефонией Asterisk, системы управления IP-телефонией Certified Asterisk, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость функции chan_sip систем управления IP-телефонией Certified Asterisk и Asterisk связана с установкой значения timert1 sip.conf, превышающего 1245. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании (исчерпание файловых дескрипторов) путём воздействия, связанного с большим значением времени ожидания передачи
Уязвимое ПО: Сетевое программное средство Digium, Inc. Asterisk от 11.0 до 11.21.1 | Сетевое программное средство Digium, Inc. Certified Asterisk 1.8.28 | Сетевое программное средство Digium, Inc. Asterisk от 1.8.0 до 1.8.9.3 | Сетевое программное средство Digium, Inc. Asterisk от 12.0 до 13.7.1 | Сетевое программное средство Digium, Inc. Certified Asterisk 11.6 | Сетевое программное средство Digium, Inc. Certified Asterisk 13.1 |

Наименование ОС и тип аппаратной платформы: Linux 64-bit | Linux 32-bit | Linux PowerPC | Solaris 64-bit | Solaris 32-bit | Solaris PowerPC | Solaris SPARC | Linux SPARC | FreeBSD 64-bit | FreeBSD 32-bit | FreeBSD PowerPC | OpenBSD 64-bit | OpenBSD 32-bit |
Дата выявления: 22.02.2016.
CVSS 2.0: AV:N/AC:M/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)

Возможные меры по устранению:
Обновление программного средства Asterisk до версии 11.21.1, 13.7.1 или новее, обновление программного средства Certified Asterisk до версии 11.6-cert12, 13.1-cert3.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2016-2316.
Прочая информация: —
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://downloads.asterisk.org/pub/security/AST-2016-002.html