pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16
来自 BJ
|
#1 Asterisk Call Detail Record Postgres存在SQL注入漏洞
来源
secunia.com
软件名
Asterisk 1.x
Asterisk Business Edition 2.x
描述
这可被恶意进行SQL注入攻击
Call Detail Record Postgres logging engine中将ANI 和 DNIS字串作为输入传递,在SQL查询使用前没有被准确过滤,可通过注入任意sql代码操控sql查询
执行成功需要有效用户认证,并且模块已经被设置和使用
该漏洞在Asterisk 1.0.x,Asterisk 1.2.x----1.2.25,Asterisk 1.4.x---1.4.15,Asterisk Business Edition A.x.x,Asterisk Business Edition B.x.x.x----B.2.3.4中已经确认
解决方案
升级到Asterisk 1.2.25, Asterisk 1.4.15,或 Asterisk Business Edition B.2.3.4
使用PgsqlODBC driver代替有漏洞的模块
| |
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
 |
|
