– Gravité : 2/4
– Conséquences : déni de service du service
– Provenance : client intranet
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : moyenne (2/3)
– Date création : 05/06/2008
– Référence : VIGILANCE-VUL-7874

PRODUITS CONCERNÉS

Unix - plateforme

DESCRIPTION

La suite Asterisk-Addons fournit des composants additionnels pour
Asterisk, dont le channel driver ooh323 qui implémente H.323.

Le driver ooh323 ouvre une socket TCP sur le port
OO_DEFAULT_CMDLISTENER_PORT (7575/tcp) pour ses échanges internes.
Cependant, un attaquant du réseau peut se connecter sur cette
socket et interagir avec le driver.

Un attaquant peut ainsi forcer le driver à libérer des adresses
mémoire invalides, ce qui stoppe le service.

CARACTÉRISTIQUES

– Références : AST-2008-009, CVE-2008-2543, VIGILANCE-VUL-7874
– Url : https://vigilance.aql.fr/arbre/1/7874