PT-2020-16974 · Sangoma+1 · Asterisk+1
Sandro Gauci
+1
·
Publicado
2020-11-06
·
Atualizado
2025-02-13
·
CVE-2020-28327
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões de código aberto do Asterisk 13.x a 13.37.0
Versões de código aberto do Asterisk 16.x a 16.14.0
Versões de código aberto do Asterisk 17.x a 17.8.0
Versões do Asterisk Open Source 18.x a 18.0.0
Versões certificadas do Asterisk anteriores à 16.8-cert5
Descrição
Foi detectada uma falha no módulo res pjsip session. Ao receber um novo SIP Invite, o Asterisk não retornou o diálogo criado bloqueado ou referenciado, causando uma lacuna entre a criação do objeto de diálogo e seu próximo uso. Essa lacuna permitia que outra thread liberasse o diálogo, levando a uma falha quando o objeto de diálogo ou seus objetos dependentes eram acessados. A falha só pode ocorrer ao usar um protocolo orientado a conexão (por exemplo, TCP ou TLS) para transporte SIP e quando o cliente remoto está autenticado ou o Asterisk está configurado para chamadas anônimas.
Recomendações
Para as versões 13.x a 13.37.0 do Asterisk Open Source, atualize para a versão 13.37.1 ou posterior.
Para as versões 16.x a 16.14.0 do Asterisk Open Source, atualize para a versão 16.14.1 ou posterior.
Para as versões 17.x a 17.8.0 do Asterisk Open Source, atualize para a versão 17.8.1 ou posterior.
Para as versões do Asterisk Open Source 18.x a 18.0.0, atualize para a versão 18.0.1 ou posterior.
Para as versões certificadas do Asterisk anteriores à 16.8-cert5, atualize para a versão 16.8-cert5 ou posterior.
Exploit
Correção
Improper Resource Release
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Asterisk