微点交流论坛

标题: Asterisk Call Detail Record Postgres存在SQL注入漏洞 [打印本页]

作者: pioneer 时间: 2007-12-7 09:58 标题: Asterisk Call Detail Record Postgres存在SQL注入漏洞

来源

secunia.com

软件名

Asterisk 1.x
Asterisk Business Edition 2.x

描述

这可被恶意进行SQL注入攻击
Call Detail Record Postgres logging engine中将ANI 和 DNIS字串作为输入传递，在SQL查询使用前没有被准确过滤，可通过注入任意sql代码操控sql查询

执行成功需要有效用户认证，并且模块已经被设置和使用

该漏洞在Asterisk 1.0.x，Asterisk 1.2.x----1.2.25，Asterisk 1.4.x---1.4.15，Asterisk Business Edition A.x.x，Asterisk Business Edition B.x.x.x----B.2.3.4中已经确认

解决方案

升级到Asterisk 1.2.25, Asterisk 1.4.15，或 Asterisk Business Edition B.2.3.4
使用PgsqlODBC driver代替有漏洞的模块

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn