S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 18 mars 2009
N° CERTA-2009-AVI-102
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Asterisk

Gestion du document

Référence CERTA-2009-AVI-102
Titre Vulnérabilité dans Asterisk
Date de la première version18 mars 2009
Date de la dernière version18 mars 2009
Source(s) Bulletin de sécurité Asterisk AST-2009-002 du 10 mars 2009
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service à distance

Systèmes affectés

  • Asterisk Business Edition version C.2.3.
  • Asterisk Open Source, branche 1.4.x pour les versions 1.4.22, 1.4.23 et 1.4.23.1 (sans à la révision 174082) ;
  • Asterisk Open Source, branche 1.6.0.x pour les versions antérieures à 1.6.0.6 (sans la révision 174085) ;
  • Asterisk Open Source, branche 1.6.1.x pour les versions antérieures à 1.6.1.0-rc2 (sans la révision 174086) ;

Résumé

Une vulnérabilité a été identifiée dans le serveur de téléphonie sur IP Asterisk. Un message SIP construit de manière particulière peut perturber le fonctionnement du service.

Description

Une vulnérabilité a été identifiée dans le serveur de téléphonie sur IP Asterisk. Elle concerne les fonctions sip_uri_headers_cmp() et sip_uri_params_cmp() qui ne manipulent pas correctement les informations contenues par certaines trames. Cette vulnérabilité fonctionne avec l'option de configuration pedantic activée. La vulnérabilité peut être exploitée par une personne distante pour perturber le fonctionnement du service de téléphonie.

Solution

Se référer au bulletin de sécurité AST-2009-002 pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 18 mars 2009
    version initiale.