Risque

  • Atteinte à la confidentialité des données

Systèmes affectés

  • Asterik Appliance s800i.
  • Asterik Business Edition ;
  • Asterisk Open Source 1.x ;

Résumé

Une vulnérabilité dans Asterisk permet à un utilisateur malveillant d'obtenir des informations sensibles.

Description

Quand Asterisk est utilisé avec l'option alwaysauthreject, la réponse SIP diffère selon que l'utilisateur existe ou n'existe pas. Cette différence est exploitable par un utilisateur malveillant pour obtenir la liste des utilisateurs valides.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation