Vulnerabilidad en Asterisk Open Source, Business Edition, AsteriskNOW (CVE-2009-3727)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
10/11/2009
Última modificación:
09/04/2025
Descripción
Asterisk Open Source versión 1.2.x anterior a 1.2.35, versión 1.4.x anterior a 1.4.26.3, versión 1.6.0.x anterior a 1.6.0.17 y versión 1.6.1.x anterior a 1.6.1.9; Business Edition versión A.x.x, versión B.x.x anteriores a B.2.5.12, versión C.2.x.x anterior a C.2.4.5 y versión C.3.x.x anterior a C.3.2.2; AsteriskNOW versión 1.5; y s800i versión 1.3.x anterior a 1.3.0.5, causan diferentes mensajes de error dependiendo de si un nombre de usuario SIP sea válido, lo que permite a los atacantes remotos enumerar nombres de usuario válidos mediante múltiples mensajes de REGISTER creados con nombres de usuario inconsistentes en el URI en el encabezado To y el Digest en el encabezado Authorization.
Impacto
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:digium:asterisk:1.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:digium:asterisk:1.2.0:beta1:*:*:*:*:*:* | ||
| cpe:2.3:a:digium:asterisk:1.2.0:beta2:*:*:*:*:*:* | ||
| cpe:2.3:a:digium:asterisk:1.2.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:digium:asterisk:1.2.0:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:digium:asterisk:1.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:digium:asterisk:1.2.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:digium:asterisk:1.2.2:netsec:*:*:*:*:*:* | ||
| cpe:2.3:a:digium:asterisk:1.2.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:digium:asterisk:1.2.3:netsec:*:*:*:*:*:* | ||
| cpe:2.3:a:digium:asterisk:1.2.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:digium:asterisk:1.2.10:netsec:*:*:*:*:*:* | ||
| cpe:2.3:a:digium:asterisk:1.2.11:*:*:*:*:*:*:* | ||
| cpe:2.3:a:digium:asterisk:1.2.11:netsec:*:*:*:*:*:* | ||
| cpe:2.3:a:digium:asterisk:1.2.12:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://downloads.asterisk.org/pub/security/AST-2009-008.html
- http://osvdb.org/59697
- http://secunia.com/advisories/37265
- http://secunia.com/advisories/37479
- http://secunia.com/advisories/37677
- http://www.debian.org/security/2009/dsa-1952
- http://www.securityfocus.com/bid/36924
- http://www.securitytracker.com/id?1023133=
- https://bugzilla.redhat.com/show_bug.cgi?id=523277
- https://bugzilla.redhat.com/show_bug.cgi?id=533137
- https://www.redhat.com/archives/fedora-package-announce/2009-November/msg00789.html
- https://www.redhat.com/archives/fedora-package-announce/2009-November/msg00838.html
- http://downloads.asterisk.org/pub/security/AST-2009-008.html
- http://osvdb.org/59697
- http://secunia.com/advisories/37265
- http://secunia.com/advisories/37479
- http://secunia.com/advisories/37677
- http://www.debian.org/security/2009/dsa-1952
- http://www.securityfocus.com/bid/36924
- http://www.securitytracker.com/id?1023133=
- https://bugzilla.redhat.com/show_bug.cgi?id=523277
- https://bugzilla.redhat.com/show_bug.cgi?id=533137
- https://www.redhat.com/archives/fedora-package-announce/2009-November/msg00789.html
- https://www.redhat.com/archives/fedora-package-announce/2009-November/msg00838.html