ГлавнаяБаза уязвимостей БДУ → BDU:2023-08871
6.1средняя

BDU:2023-08871

Уязвимость интерфейса AMI (Asterisk Managment Interface) систем управления IP-телефонией Asterisk и Certified Asterisk, позволяющая нарушителю получить доступ на чтение произвольных файлов
Опубликовано: 2023-12-19
Описание

Уязвимость интерфейса AMI (Asterisk Managment Interface) систем управления IP-телефонией Asterisk и Certified Asterisk связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение произвольных файлов с помощью команды GetConfig

Затрагиваемое ПО и версии
РЕД ОС (7.3)Asterisk (до 18.20.0 включительно)Asterisk (от 19.8.1 до 20.5.0 включительно)Asterisk (21.0.0)Certified Asterisk (до 18.9-cert5 включительно)ОСОН ОСнова Оnyx (до 2.10)
Способ устранения

Использование рекомендаций:
https://github.com/asterisk/asterisk/releases
https://github.com/asterisk/asterisk/blob/master/main/manager.c#L3757
https://github.com/asterisk/asterisk/security/advisories/GHSA-8857-hfmw-vg8f
https://github.com/asterisk/asterisk/commit/424be345639d75c6cb7d0bd2da5f0f407dbd0bd5

Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения asterisk до версии 1:18.14.0~dfsg+~cs6.12.40431414-1really16.28.0~dfsg-0+deb10u4

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл6.1 — средняя опасность
Источники и патчи
https://github.com/asterisk/asterisk/blob/master/main/manager.c#L3757https://github.com/asterisk/asterisk/commit/424be345639d75c6cb7d0bd2da5f0f407dbd0bd5https://github.com/asterisk/asterisk/security/advisories/GHSA-8857-hfmw-vg8fhttps://wiki.miko.ru/kb:asterisk:ami:getconfighttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.10/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена