Risque

Atteinte à la confidentialité des données.

Systèmes affectés

  • Asterisk Open Source 1.2.x ;
  • Asterisk Open Source 1.4.x ;
  • Asterisk Open Source 1.6.x ;
  • Asterisk Business Edition A.x.x ;
  • Asterisk Business Edition B.x.x ;
  • Asterisk Business Edition C.1.x.x ;
  • Asterisk Business Edition C.2.x.x ;
  • Toutes les versions de s800i (Asterisk Appliance) antérieures à la version 1.3.0.

Résumé

Une vulnérabilité affectant les produits Asterisk permet à une personne malintentionnée de porter atteinte à la confidentialité des données.

Description

Une faiblesse dans les retours de validation des connexions d'utilisateur permet à une personne malveillante de distinguer un compte utilisateur existant d'un compte inexistant.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation