Vulnérabilité dans Asterisk

Gestion du document

Référence	CERTA-2009-AVI-010
Titre	Vulnérabilité dans Asterisk
Date de la première version	09 janvier 2009
Date de la dernière version	13 mai 2009
Source(s)	Bulletin de sécurité Asterisk AST-2009-001 du 7 janvier 2009

Risque

Atteinte à la confidentialité des données

Systèmes affectés

Asterisk Business Edition A.x.x ;
Asterisk Business Edition B.x.x ;
Asterisk Business Edition C.1.x.x ;
Asterisk Business Edition C.2.x.x ;
Asterisk Open Source 1.2.x ;
Asterisk Open Source 1.4.x ;
Asterisk Open Source 1.6.x ;
Toutes les versions de s800i (Asterisk Appliance) antérieures à la version 1.3.0.

Résumé

Une vulnérabilité affectant les produits Asterisk permet à une personne malintentionnée de porter atteinte à la confidentialité des données.

Description

Une faiblesse dans les retours de validation des connexions d'utilisateur permet à une personne malveillante de distinguer un compte utilisateur existant d'un compte inexistant.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Asterisk AST-2009-001 du 7 janvier 2009 :

http://downloads.digium.com/pub/security/AST-2009-001.html

Bulletin de sécurité Gentoo GLSA-200905-01 du 02 mai 2009 :

http://www.gentoo.org/security/en/glsa/glsa-200905-01.xml

Référence CVE CVE-2009-0041

https://www.cve.org/CVERecord?id=CVE-2009-0041

Avis du CERT-FR

Objet: Vulnérabilité dans Asterisk