製品・ソフトウェアに関する情報

JVN脆弱性詳細

Asterisk の voicemail 機能におけるバッファオーバーフローの脆弱性

タイトル	Asterisk の voicemail 機能におけるバッファオーバーフローの脆弱性
概要	Asterisk の voicemail 機能には、IMAP ストレージを使用している際、バッファオーバーフローの脆弱性が存在します。
想定される影響	以下の影響を受ける可能性があります。 (1) 第三者により、Content-type および Content-description ヘッダの過度に長い組み合わせを介して、任意のコードを実行される可能性 (2) ローカルユーザにより、astspooldir フィールド、voicemail フィールド、context フィールドおよび voicemail mailbox フィールドの過度に長い組み合わせを介して、任意のコードを実行される可能性
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2007年10月9日0:00
登録日	2012年6月26日15:54
最終更新日	2012年6月26日15:54

影響を受けるシステム

Digium

Asterisk 1.4.13 未満の 1.4.x

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2007-5358	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5358
National Vulnerability Database (NVD)
2	CVE-2007-5358	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2007-5358

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	名前	URL
Asterisk Project Security Advisory
1	AST-2007-022	http://downloads.asterisk.org/pub/security/AST-2007-022.html

変更履歴

No	変更内容	変更日
0	[2012年06月26日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2007-5358

概要	Multiple buffer overflows in the voicemail functionality in Asterisk 1.4.x before 1.4.13, when using IMAP storage, might allow (1) remote attackers to execute arbitrary code via a long combination of Content-type and Content-description headers, or (2) local users to execute arbitrary code via a long combination of astspooldir, voicemail context, and voicemail mailbox fields. NOTE: vector 2 requires write access to Asterisk configuration files.
概要	Múltiples desbordamientos de búfer en la funcionalidad de voicemail del Asterisk 1.4.x anterior al 1.4.13, cuando se utiliza el almacenamiento IMAP, puede permitir (1) a atacantes ejecutar código de su elección a través de una combinación larga de cabeceras dependientes del tipo (Content-type) y de la descripción (Content-description), o (2) usuarios locales ejecutar código de su elección a través de una combinación larga de los campos astspooldir, voicemail context y voicemail mailbox. NOTA: el vector 2 requiere acceso de escritura en los ficheros de configuración del Asterisk.
公表日	2007年10月13日8:17
登録日	2021年1月29日14:21
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:digium:asterisk::::::::			1.4.12

関連情報、対策とツール

No	URL	refsource
1	http://downloads.digium.com/pub/security/AST-2007-022.html	cve@mitre.org
2	http://osvdb.org/38201	cve@mitre.org
3	http://osvdb.org/38202	cve@mitre.org
4	http://secunia.com/advisories/27184	cve@mitre.org
5	http://www.securityfocus.com/archive/1/481996/100/0/threaded	cve@mitre.org
6	http://www.securityfocus.com/bid/26005	cve@mitre.org
7	http://www.securitytracker.com/id?1018804	cve@mitre.org
8	http://www.vupen.com/english/advisories/2007/3454	cve@mitre.org
9	https://exchange.xforce.ibmcloud.com/vulnerabilities/37051	cve@mitre.org
10	https://exchange.xforce.ibmcloud.com/vulnerabilities/37052	cve@mitre.org
11	http://downloads.digium.com/pub/security/AST-2007-022.html	af854a3a-2127-422b-91ae-364da2661108
12	http://osvdb.org/38201	af854a3a-2127-422b-91ae-364da2661108
13	http://osvdb.org/38202	af854a3a-2127-422b-91ae-364da2661108
14	http://secunia.com/advisories/27184	af854a3a-2127-422b-91ae-364da2661108
15	http://www.securityfocus.com/archive/1/481996/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
16	http://www.securityfocus.com/bid/26005	af854a3a-2127-422b-91ae-364da2661108
17	http://www.securitytracker.com/id?1018804	af854a3a-2127-422b-91ae-364da2661108
18	http://www.vupen.com/english/advisories/2007/3454	af854a3a-2127-422b-91ae-364da2661108
19	https://exchange.xforce.ibmcloud.com/vulnerabilities/37051	af854a3a-2127-422b-91ae-364da2661108
20	https://exchange.xforce.ibmcloud.com/vulnerabilities/37052	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-119	バッファエラー	https://cwe.mitre.org/data/definitions/118.html