| CNNVD-ID编号 | CNNVD-201412-324 |
| CVE编号 | CVE-2014-9374 |
| 发布时间 | 2014-12-15 |
| 更新时间 | 2014-12-15 |
| 漏洞类型 | |
| 漏洞来源 | N/A |
| 危险等级 | 中危 |
| 威胁类型 | 远程 |
| 厂 商 | digium |
Digium Asterisk Open Source和Certified Asterisk都是美国Digium公司的开源电话交换机(PBX)系统软件。该软件支持语音信箱、多方语音会议、交互式语音应答(IVR)等。PJSIP是其中的一个多媒体通信库。multi-part body parser是其中的一个解析器。
Digium Asterisk Open Source和Certified Asterisk的WebSocket Server(res_http_websocket module)中存在双重释放漏洞。远程攻击者可通过发送零长度的帧利用该漏洞造成拒绝服务(崩溃)。以下产品和版本受到影响:Asterisk Open Source 11.14.2之前11.x版本,12.7.2之前12.x版本,13.0.2之前13.x版本,Certified Asterisk 11.6-cert9之前11.6版本。
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://downloads.asterisk.org/pub/security/AST-2014-019.html
来源:downloads.asterisk.org
链接:http://downloads.asterisk.org/pub/security/AST-2014-019.html
来源:BID
来源:BUGTRAQ
链接:http://www.securityfocus.com/archive/1/archive/1/534197/100/0/threaded
来源:SECUNIA
来源:FULLDISC
来源:packetstormsecurity.com
链接:http://packetstormsecurity.com/files/129473/Asterisk-Project-Security-Advisory-AST-2014-019.html