Digium Asterisk SIP注册响应用户枚举漏洞 CVE-2009-3727 CNNVD-200911-119

5.0 AV AC AU C I A
发布: 2009-11-10
修订: 2009-12-23

Asterisk是开放源码的软件PBX,支持各种VoIP协议和设备。 Asterisk Open Source 1.2.35之前的1.2.x版本,1.4.26.3之前的1.4.x版本,1.6.0.17之前的1.6.0.x版本,以及1.6.1.9之前的1.6.1.x版本;Business Edition A.x.x,B.2.5.12之前的B.x.x版本,C.2.4.5之前的C.2.x.x版本,C.3.2.2之前的C.3.x.x版本;AsteriskNOW 1.5,1.3.0.5之前的s800i 1.3.x版本中存在SIP注册响应用户枚举漏洞。由于Asterisk依据SIP用户名的有效性返回不同的错误信息,远程攻击者可以通过构造在身份认证头部包含非连续用户名的特制注册信息数据包来枚举有效用户名。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有215条受影响产品信息