製品・ソフトウェアに関する情報

JVN脆弱性詳細

Asterisk Open Source および Certified Asterisk におけるバッファエラーの脆弱性

タイトル	Asterisk Open Source および Certified Asterisk におけるバッファエラーの脆弱性
概要	Asterisk Open Source および Certified Asterisk には、バッファエラーの脆弱性が存在します。
想定される影響	サービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2017年10月19日0:00
登録日	2017年12月11日18:06
最終更新日	2017年12月11日18:06

影響を受けるシステム

Digium

Asterisk 13.18.1 未満の 13

Asterisk 14.7.1 未満の 14

Asterisk 15.1.1 未満の 15

Certified Asterisk 13.13-cert7 未満の 13.13

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-16672	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-16672
National Vulnerability Database (NVD)
2	CVE-2017-16672	https://nvd.nist.gov/vuln/detail/CVE-2017-16672

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	名前	URL
Asterisk Project Security Advisory
1	AST-2017-011	http://downloads.asterisk.org/pub/security/AST-2017-011.html
JIRA
2	ASTERISK-27345	https://issues.asterisk.org/jira/browse/ASTERISK-27345

変更履歴

No	変更内容	変更日
0	[2017年12月11日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2017-16672

概要	An issue was discovered in Asterisk Open Source 13 before 13.18.1, 14 before 14.7.1, and 15 before 15.1.1 and Certified Asterisk 13.13 before 13.13-cert7. A memory leak occurs when an Asterisk pjsip session object is created and that call gets rejected before the session itself is fully established. When this happens the session object never gets destroyed. Eventually Asterisk can run out of memory and crash.
公表日	2017年11月9日9:29
登録日	2021年1月26日13:18
最終更新日	2024年11月21日12:16

影響を受けるソフトウェアの構成

構成2	以上	以下	より上	未満
cpe:2.3:a:digium:certified_asterisk:13.13.0:::::::*
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert3::::::
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert1::::::
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert2::::::
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert1_rc4::::::
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert1_rc3::::::
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert1_rc2::::::
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert1_rc1::::::
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert6::::::
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert5::::::
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert4::::::

構成2	以上	以下	より上	未満
cpe:2.3:a:digium:certified_asterisk:13.13.0:::::::*
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert3::::::
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert1::::::
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert2::::::
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert1_rc4::::::
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert1_rc3::::::
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert1_rc2::::::
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert1_rc1::::::
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert6::::::
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert5::::::
cpe:2.3:a:digium:certified_asterisk:13.13.0:cert4::::::

No	URL	タグ
1	http://downloads.digium.com/pub/security/AST-2017-011.html	Vendor Advisory
2	http://downloads.digium.com/pub/security/AST-2017-011.html	Vendor Advisory
3	http://www.securityfocus.com/bid/101765	Third Party Advisory VDB Entry
4	http://www.securityfocus.com/bid/101765	Third Party Advisory VDB Entry
5	https://issues.asterisk.org/jira/browse/ASTERISK-27345	Vendor Advisory
6	https://issues.asterisk.org/jira/browse/ASTERISK-27345	Vendor Advisory
7	https://security.gentoo.org/glsa/201811-11
8	https://security.gentoo.org/glsa/201811-11
9	https://www.debian.org/security/2017/dsa-4076
10	https://www.debian.org/security/2017/dsa-4076