Asterisk ist eine IP-Telefonie- und Messaging-Plattform für Linux, BSD und Mac OS X. Sie kann standalone oder in Ergänzung zu Festnetztelefonie betrieben werden. ISS hat eine Schwachstelle im Inter-Asterisk eXchange Protocol Version 2 (IAX2) entdeckt. Angreifer könnten diese missbrauchen, um eine Installation mit vorgetäuschten Anrufen zu überfluten und so per DoS (Denial of Service) lahmzulegen. Einschränkend sei erwähnt, dass er dazu einen gültigen Benutzernamen kennen müsste.

In der Asterisk-Software gibt es eine Server-Einstellung, über die man die Zahl gleichzeitiger nicht authentifizierter Anrufanfragen limitieren kann. Wer hier den kleinsten möglichen Wert einträgt, ist bereits auf der sicheren Seite. Es gibt aber auch schon eine fehlerbereinigte Version, die man sowohl beim Asterisk-Projekt als auch von Digium bekommt, das Service und Support für die Software anbietet. (tc)