PT-2020-16952 · Sangoma+1 · Asterisk+1
Ruslan Lazin
+1
·
Publicado
2020-11-06
·
Atualizado
2025-02-13
·
CVE-2020-28242
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões de código aberto do Asterisk 13.x a 13.37.0
Versões de código aberto do Asterisk 16.x a 16.14.0
Versões de código aberto do Asterisk 17.x a 17.8.0
Versões de código aberto do Asterisk 18.x a 18.0.0
Versões certificadas do Asterisk anteriores à 16.8-cert5
Descrição
Foi descoberta uma falha em que o Asterisk, quando desafiado em um INVITE de saída e o nonce é alterado em cada resposta, envia INVITEs continuamente em um loop. Isso faz com que o Asterisk consuma cada vez mais memória, uma vez que a transação nunca será encerrada, levando, por fim, a uma reinicialização ou desligamento do Asterisk. A autenticação de saída deve estar configurada no terminal para que isso ocorra.
Recomendações
Para as versões de código aberto do Asterisk 13.x a 13.37.0, atualize para a versão 13.37.1 ou posterior.
Para as versões de código aberto do Asterisk 16.x a 16.14.0, atualize para a versão 16.14.1 ou posterior.
Para as versões 17.x a 17.8.0 do Asterisk Open Source, atualize para a versão 17.8.1 ou posterior.
Para as versões do Asterisk Open Source 18.x a 18.0.0, atualize para a versão 18.0.1 ou posterior.
Para as versões certificadas do Asterisk anteriores à 16.8-cert5, atualize para a versão 16.8-cert5 ou posterior.
Correção
Uncontrolled Recursion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Asterisk