製品・ソフトウェアに関する情報
Vulnerability Search
Asterisk の voicemail 機能におけるバッファオーバーフローの脆弱性
Title Asterisk の voicemail 機能におけるバッファオーバーフローの脆弱性
Summary

Asterisk の voicemail 機能には、IMAP ストレージを使用している際、バッファオーバーフローの脆弱性が存在します。

Possible impacts 以下の影響を受ける可能性があります。 (1) 第三者により、Content-type および Content-description ヘッダの過度に長い組み合わせを介して、任意のコードを実行される可能性 (2) ローカルユーザにより、astspooldir フィールド、voicemail フィールド、context フィールドおよび voicemail mailbox フィールドの過度に長い組み合わせを介して、任意のコードを実行される可能性
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date Oct. 9, 2007, midnight
Registration Date June 26, 2012, 3:54 p.m.
Last Update June 26, 2012, 3:54 p.m.
CVSS2.0 : 警告
Score 6.8
Vector AV:N/AC:M/Au:N/C:P/I:P/A:P
Affected System
Digium
Asterisk 1.4.13 未満の 1.4.x
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年06月26日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2007-5358
Summary

Multiple buffer overflows in the voicemail functionality in Asterisk 1.4.x before 1.4.13, when using IMAP storage, might allow (1) remote attackers to execute arbitrary code via a long combination of Content-type and Content-description headers, or (2) local users to execute arbitrary code via a long combination of astspooldir, voicemail context, and voicemail mailbox fields. NOTE: vector 2 requires write access to Asterisk configuration files.

Summary

Múltiples desbordamientos de búfer en la funcionalidad de voicemail del Asterisk 1.4.x anterior al 1.4.13, cuando se utiliza el almacenamiento IMAP, puede permitir (1) a atacantes ejecutar código de su elección a través de una combinación larga de cabeceras dependientes del tipo (Content-type) y de la descripción (Content-description), o (2) usuarios locales ejecutar código de su elección a través de una combinación larga de los campos astspooldir, voicemail context y voicemail mailbox. NOTA: el vector 2 requiere acceso de escritura en los ficheros de configuración del Asterisk.

Publication Date Oct. 13, 2007, 8:17 a.m.
Registration Date Jan. 29, 2021, 2:21 p.m.
Last Update April 23, 2026, 9:35 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:digium:asterisk:*:*:*:*:*:*:*:* 1.4.12
Related information, measures and tools
Common Vulnerabilities List