Risque
- Exécution de code arbitraire à distance ;
- déni de service.
Systèmes affectés
- Versions antérieures à Certified Asterisk 1.8.11-cert2 ;
- versions antérieures à Asterisk Open Source 10.4.1 ;
- versions antérieures à Asterisk Open Source 1.8.12.1.
Résumé
Deux vulnérabilités ont été corrigées dans Asterisk. Une concerne le canal IAX2 et peut être exploitée à distance pour exécuter du code arbitraire. La deuxième est un déréférencement de pointeur nul, seul un déni de service peut être provoqué.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité AST-2012-007 du 29 mai 2012 :
http://downloads.asterisk.org/pub/security/AST-2012-007.html
- Bulletin de sécurité AST-2012-008 du 29 mai 2012 :
http://downloads.asterisk.org/pub/security/AST-2012-008.html
- Référence CVE CVE-2012-2947 :
https://www.cve.org/CVERecord?id=CVE-2012-2947
- Référence CVE CVE-2012-2948 :
https://www.cve.org/CVERecord?id=CVE-2012-2948