Erneut Schwachstellen in VoIP-Software Asterisk aufgetaucht

24.08.2006
Zwei Fehler ermöglichen das Ausführen von beliebigem Code.

Die Experten des Anbieters Mu Security haben zwei Fehler in der Open-Source-IP-Telefoniesoftware Asterisk entdeckt. Neben der MGCP-Implementierung (Media Gateway Control Protocol) ist die Verarbeitung von Namen betroffen, die zu der Anwendung "Record ()" geschickt werden. Beide Bugs können theoretisch von einem Angreifer ausgenutzt werden, um beliebigen Code auszuführen, wobei hierfür im letzteren Fall eine durch den Administrator kontrollierte Variable als Teil des Dateinamens nötig ist.

Die Entwickler von Asterisk haben bereits reagiert und einen Patch erstellt, der die Probleme beheben soll. Das Update kann hier heruntergeladen werden.

Erst vor wenigen Wochen hatten Mitarbeiter des Anbieters Internet Security Systems (ISS) vor Schwachstellen in der VoIP-Software Asterisk gewarnt. Damals handelte es sich um einen Fehler im eXchange Protocol Version 2 (IAX2), der ermöglichte, eine Installation mit vorgetäuschten Anrufen zu überfluten und so per DoS (Denial of Service) lahmzulegen. (ave)