关键信息 漏洞概述 漏洞类型: 资源耗尽(DoS)漏洞:远程可利用的RTP UDP端口和内部资源泄漏 CVE ID: CVE-2021-40599 严重性: 中等 (6.5/10) 影响版本 受影响版本: - <= 18.26.3 - <= 18.9-cert16 修复版本: - 18.26.4 - 18.9-cert17 环境与协议 环境: FreePBX 16, Asterisk 18.26.3 (也适用于其他Asterisk版本) 传输协议: UDP, TCP, TLS 具体细节 匿名端点在PJSIP中的具体配置: 目标内容(来自sip-external.conf): PoC (概念验证) 基于SIPP的脚本(test.xml)用于重现问题,详细步骤包括发送INVITE请求、处理响应等。 影响 资源耗尽: RTP UDP端口未关闭,模块显示评论,说明泄露模块使用计数器(每次调用都会增长)。 示例: 列出了多个模块及其描述,如 , 等,展示了它们的加载状态和支持级别。 总结 该漏洞允许远程攻击者通过特定的SIP消息序列导致Asterisk服务器上的资源耗尽,影响其正常服务。及时升级到修复版本是必要的防御措施。