中心编号:NIPC-2007-3546
CVE编号:CVE-2007-5791,CVE-2007-5792
漏洞级别:紧急
发布日期:2007-11-01
更新日期:2007-11-02
攻击方式:远程
攻击效果:未授权的信息泄漏,未授权的修改,拒绝服务
漏洞描述:
Vonage Motorola VT 2142是摩托罗拉认证的网络电话适配器。
Motorola VT 2142的实现上存在多个远程安全漏洞,远程攻击者可能利用这些漏洞导致设备不可用或信息泄露。
如果向Motorola VT 2142电话适配器发送量大量SIP INVITE消息的话,就可能导致拒绝服务,用户无法再拨打或接收呼叫。
SIP栈未经检查请求的有效性便接受了SIP INVITE消息,因此攻击者可能在发送的SIP INVITE消息中设置服务器的IP地址,伪造呼叫者的ID扮演成为呼叫服务器。
Vonage电话服务没有加密语音对话报文,攻击者可以捕获基于IP的通讯中断未加密RTP报文以重构媒体(如语音或视频),这样就可以窃听保密通话或观看保密的视频通讯。
受影响系统和软件:
Vonage, Motorola Phone Adapter VT2142-VD
参考资源一:
http://www.securityfocus.com/bid/26129
参考资源二:
http://xforce.iss.net/xforce/xfdb/37420
参考资源三:
http://secunia.com/advisories/27380
致谢:
该漏洞由Sipera VIPER Lab发现。
