NVD脆弱性詳細

CVE-2020-28242

概要	An issue was discovered in Asterisk Open Source 13.x before 13.37.1, 16.x before 16.14.1, 17.x before 17.8.1, and 18.x before 18.0.1 and Certified Asterisk before 16.8-cert5. If Asterisk is challenged on an outbound INVITE and the nonce is changed in each response, Asterisk will continually send INVITEs in a loop. This causes Asterisk to consume more and more memory since the transaction will never terminate (even if the call is hung up), ultimately leading to a restart or shutdown of Asterisk. Outbound authentication must be configured on the endpoint for this to occur.
公表日	2020年11月6日15:15
登録日	2021年1月26日11:56
最終更新日	2024年11月21日14:22

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:asterisk:certified_asterisk::::::::		16.8.0
cpe:2.3:a:sangoma:asterisk::::::::	18.0			18.0.1
cpe:2.3:a:sangoma:asterisk::::::::	17.0			17.8.1
cpe:2.3:a:sangoma:asterisk::::::::	16.0			16.14.1
cpe:2.3:a:sangoma:asterisk::::::::	13.0			13.37.1

構成2		以上	以下	より上	未満
cpe:2.3:o:fedoraproject:fedora:33:::::::*

構成3		以上	以下	より上	未満
cpe:2.3:o:debian:debian_linux:9.0:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://downloads.asterisk.org/pub/security/AST-2020-002.html	Vendor Advisory
2	http://downloads.asterisk.org/pub/security/AST-2020-002.html	Vendor Advisory
3	https://lists.debian.org/debian-lts-announce/2022/04/msg00001.html	Mailing List Third Party Advisory
4	https://lists.debian.org/debian-lts-announce/2022/04/msg00001.html	Mailing List Third Party Advisory
5	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/QUS54QTQCYKR36EIULYD544GXDA644HB/
6	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/QUS54QTQCYKR36EIULYD544GXDA644HB/

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-674	不適切な再帰制御	https://cwe.mitre.org/data/definitions/674.html

JVN脆弱性情報

Asterisk Open Source および Certified Asterisk における再帰制御に関する脆弱性

タイトル	Asterisk Open Source および Certified Asterisk における再帰制御に関する脆弱性
概要	Asterisk Open Source および Certified Asterisk には、再帰制御に関する脆弱性が存在します。
想定される影響	サービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2020年11月5日0:00
登録日	2021年6月29日17:35
最終更新日	2021年6月29日17:35

影響を受けるシステム

Digium

Asterisk Open Source 13.37.1 未満の 13.x

Asterisk Open Source 16.14.1 未満の 16.x

Asterisk Open Source 17.8.1 未満の 17.x

Asterisk Open Source 18.0.1 未満の 18.x

Certified Asterisk 16.8-cert5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-28242	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28242
National Vulnerability Database (NVD)
2	CVE-2020-28242	https://nvd.nist.gov/vuln/detail/CVE-2020-28242

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-674	https://cwe.mitre.org/data/definitions/674.html

ベンダー情報

No	名前	URL
Asterisk
1	AST-2020-002	http://downloads.asterisk.org/pub/security/AST-2020-002.html

変更履歴

No	変更内容	変更日
1	[2021年06月29日] 掲載	2021年6月29日17:35