Vulnérabilités dans Asterisk

Gestion du document

Référence	CERTA-2012-AVI-298
Titre	Vulnérabilités dans Asterisk
Date de la première version	29 mai 2012
Date de la dernière version	29 mai 2012
Source(s)	Bulletin de sécurité Asterisk AST-2012-007 du 29 mai 2012 Bulletin de sécurité Asterisk AST-2012-008 du 29 mai 2012
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance ;
déni de service.

Systèmes affectés

Versions antérieures à Certified Asterisk 1.8.11-cert2 ;
versions antérieures à Asterisk Open Source 10.4.1 ;
versions antérieures à Asterisk Open Source 1.8.12.1.

Résumé

Deux vulnérabilités ont été corrigées dans Asterisk. Une concerne le canal IAX2 et peut être exploitée à distance pour exécuter du code arbitraire. La deuxième est un déréférencement de pointeur nul, seul un déni de service peut être provoqué.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité AST-2012-007 du 29 mai 2012 :

http://downloads.asterisk.org/pub/security/AST-2012-007.html

Bulletin de sécurité AST-2012-008 du 29 mai 2012 :

http://downloads.asterisk.org/pub/security/AST-2012-008.html

Référence CVE CVE-2012-2947 :

https://www.cve.org/CVERecord?id=CVE-2012-2947

Référence CVE CVE-2012-2948 :

https://www.cve.org/CVERecord?id=CVE-2012-2948

Avis du CERT-FR

Objet: Vulnérabilités dans Asterisk