Risque

  • Déni de service à distance ;
  • élévation de privilèges.

Systèmes affectés

  • Asterisk 1.4.x ;
  • Asterisk 1.6.1.x ;
  • Asterisk 1.6.2.x ;
  • Asterisk 1.8.x ;
  • Asterisk Business Edition C.x.x.

Résumé

Deux vulnérabilités ont été découvertes dans Asterisk :

  • Il est possible de provoquer un déni de service à distance ;
  • un utilisateur authentifié sur la console d'administration peut exécuter du code arbitraire sur le système.

Description

Deux vulnérabilités ont été découvertes dans Asterisk :

  • Une personne malveillante peut provoquer un déni de service en saturant le serveur au moyen d'un grand nombre de connexions TCP non authentifiées (Protocole Skinny, SIP sur TCP, sur le serveur HTTP ou sur l'interface d'administration) ;
  • une erreur dans la console d'administration permet à un utilisateur authentifié de contourner des mesures de protection en place, et d'exécuter du code arbitraire sur le système.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Les versions 1.4.40.1, 1.6.1.25, 1.6.2.17.3, 1.8.3.3 et C.3.6.4 corrigents ces vulnérabilités.

Documentation