Digium Asterisk Open Source和Certified Asterisk 双重释放漏洞

CNNVD-ID编号 CNNVD-201412-324
CVE编号 CVE-2014-9374
发布时间 2014-12-15
更新时间 2014-12-15
漏洞类型
漏洞来源 N/A
危险等级 中危
威胁类型 远程
厂 商 digium

漏洞介绍

Digium Asterisk Open Source和Certified Asterisk都是美国Digium公司的开源电话交换机(PBX)系统软件。该软件支持语音信箱、多方语音会议、交互式语音应答(IVR)等。PJSIP是其中的一个多媒体通信库。multi-part body parser是其中的一个解析器。

Digium Asterisk Open Source和Certified Asterisk的WebSocket Server(res_http_websocket module)中存在双重释放漏洞。远程攻击者可通过发送零长度的帧利用该漏洞造成拒绝服务(崩溃)。以下产品和版本受到影响:Asterisk Open Source 11.14.2之前11.x版本,12.7.2之前12.x版本,13.0.2之前13.x版本,Certified Asterisk 11.6-cert9之前11.6版本。

漏洞补丁

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

参考网址

受影响实体

信息来源