Risque
Atteinte à la confidentialité des données.
Systèmes affectés
- Asterisk Open Source 1.x ;
- Asterik Business Edition ;
- Asterik Appliance s800i.
Résumé
Une vulnérabilité dans Asterisk permet à un utilisateur malveillant d'obtenir des informations sensibles.
Description
Quand Asterisk est utilisé avec l'option alwaysauthreject, la réponse SIP diffère selon que l'utilisateur existe ou n'existe pas. Cette différence est exploitable par un utilisateur malveillant pour obtenir la liste des utilisateurs valides.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité du projet Asterisk AST-2009-003 du 02 avril 2009 :
http://www.asterisk.org/node/48582
- Référence CVE CVE-2008-3903 :
https://www.cve.org/CVERecord?id=CVE-2008-3903