Vulnerabilità SQL Injection in cdr_addon_mysql

News ottobre 21st. 2007, 3:22pm

Al numero sorgente e destinazione per ciascuna chiamata non vengono correttamente aggiunti i codici di escape prima dell’inserimento a database dal modulo cdr_addon_mysql. Perciò inviando – ad un sistema Asterisk con il modulo cdr_addon_mysql caricato – un numero telefonico di destinazione appositamente modificato, rende possibile la creazione di un’altra query. Questa vulnerabilità diventa ancora più grave se si utilizzano le estensioni real-time, dal momento che i dati del sistema realtime potrebbero essere sullo stesso database che ospita le CDR.

Il bug è stato risolto nell’ultima versione di asterisk-addons. E’ per questo consigliato l’aggiornamento.

Maggiori informazioni sul sito di asterisk: AST-2007-023

[Slashdot] [Digg] [Reddit] [del.icio.us] [Facebook] [Technorati] [Google] [StumbleUpon]

Tag: Sistemi di Call Center | Centralino Voip | Consulente Asterisk Napoli | Centralino Telefonico | Voip | Asterisk CTI | PBX | Telefoni IP | Networking | Linux

Sviluppo di IVR, sistemi di callcenter, PBX Voip.

Ancora nessun commento.

Scrivi un commento: