Asterisk erlaubt Angriffe

EnterpriseMobileOpen SourceSoftware

Die quelloffene VoIP-Software ‘Asterisk’ kämpft erneut mit Schwachstellen. Angreifer können beliebigen Code ausführen.

Das Open Source PBX, wie sich Asterisk selbst nennt, hatte schon vor einigen Wochen mit einer Verwundbarkeit zu kämpfen, die eine Denial-of-Service-Attacke zuließ. Allerdings waren davon auch andere Produkte betroffen.

Der IT-Sicherheitsdienstleister Mu Securities hat nun in einem Advisory zwei neue Schwachstellen offen gelegt. In der MGCP-Implementierung der VoIP-Software (Voice over Internet Protocol) ist ein Remote Buffer Overflow möglich, in dessen Folge beliebiger Code nachgeladen werden kann. Dem Angreifer ist dies über manipulierte AUEP, also den Reaktionen von Audit-Endpunkten möglich.

Der zweite Fehler tritt bei der Verarbeitung von Dateinamen der Anwendung ‘Record’ auf. Dieses Leck, so Mu Securities im Advisory, sei nicht so schwerwiegend, da dazu Administratorenrechte nötig sind. Mu Security erklärt, dass die Mitarbeiter von Asterisk auf das Problem schnell mit einem Patch für den Buffer Overflow reagiert hätten.