Asterisk 開(kāi)發(fā)人員解決了拒絕服務(wù)的問(wèn)題

　　CTI論壇(ctiforum)7月16日消息（編譯/鄧旭）: 企業(yè)應(yīng)用和平臺(tái)的開(kāi)放源模式正在快速興起，各種規(guī)模的企業(yè)都一直在以更快的速度采用這些解決方案。這些產(chǎn)品的靈活性、升級(jí)能力和定制能力使之成為了世界各地企業(yè)的首選產(chǎn)品。

　　通信應(yīng)用的開(kāi)放源框架Asterisk的開(kāi)發(fā)人員宣布，他們已經(jīng)成功解決了他們的開(kāi)放源PBX系統(tǒng)中的兩個(gè)拒絕服務(wù)的問(wèn)題。 免費(fèi)開(kāi)放源框架Asterisk主要服務(wù)于IP PBX系統(tǒng)、VoIP網(wǎng)關(guān)和會(huì)議服務(wù)器，由Digium資助，并被世界各地的許多小企業(yè)、大企業(yè)、呼叫中心、運(yùn)營(yíng)商和政府采用。

　　 在新的開(kāi)發(fā)工作中，Asterisk的開(kāi)放源PBX系統(tǒng)中發(fā)現(xiàn)的兩個(gè)拒絕服務(wù)問(wèn)題與應(yīng)用程序的邀請(qǐng)和語(yǔ)音郵件方面有關(guān)，而且一直都包含在Asterisk的1.8.11-cert4, 1.8.13.1, 10.5.2以及 10.5.2-digiumphones版本中。
 
　　第一個(gè)故障是通過(guò)所有現(xiàn)有的實(shí)時(shí)傳輸協(xié)議（RTP）端口連接Asterisk服務(wù)器來(lái)應(yīng)對(duì)攻擊者，從而產(chǎn)生了拒絕服務(wù)的情況。后來(lái)發(fā)現(xiàn)，當(dāng)Asterisk通過(guò)SIP協(xié)議向通話發(fā)出重新邀請(qǐng)并且端點(diǎn)用一個(gè)臨時(shí)的回答作出回應(yīng)但是未能發(fā)送最終回應(yīng)時(shí)，該通話的RTP端口沒(méi)有被釋放。此外，如果這一過(guò)程連續(xù)重復(fù)多次，服務(wù)器就會(huì)脫離RTP端口，不能夠接收任何來(lái)電。

　　同樣，第二個(gè)故障是與Asterisk的語(yǔ)音郵件系統(tǒng)有關(guān)。只要兩方同時(shí)操縱Asterisk的同一個(gè)語(yǔ)音郵件賬戶，存儲(chǔ)器就會(huì)釋放兩次，因此，服務(wù)器隨后崩潰。Asterisk 1.8.11-cert4, 1.8.13.1, 10.5.2 和10.5.2-digiumphones的概要包含了所有已發(fā)行版本中實(shí)施的修訂版的詳細(xì)信息，所有四個(gè)版本都可以從Asterisk服務(wù)器中下載。

　　 聲明:版權(quán)所有 非合作媒體謝絕轉(zhuǎn)載