Avis du CERT-FR

Objet: Vulnérabilité dans Asterisk

Gestion du document

Référence	CERTA-2009-AVI-129
Titre	Vulnérabilité dans Asterisk
Date de la première version	06 avril 2009
Date de la dernière version	06 avril 2009
Source(s)	Bulletin de sécurité du projet Asterisk AST-2009-003 du 02 avril 2009
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Atteinte à la confidentialité des données.

Systèmes affectés

Asterisk Open Source 1.x ;
Asterik Business Edition ;
Asterik Appliance s800i.

Résumé

Une vulnérabilité dans Asterisk permet à un utilisateur malveillant d'obtenir des informations sensibles.

Description

Quand Asterisk est utilisé avec l'option alwaysauthreject, la réponse SIP diffère selon que l'utilisateur existe ou n'existe pas. Cette différence est exploitable par un utilisateur malveillant pour obtenir la liste des utilisateurs valides.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité du projet Asterisk AST-2009-003 du 02 avril 2009 :
```
http://www.asterisk.org/node/48582
```

Référence CVE CVE-2008-3903 :

https://www.cve.org/CVERecord?id=CVE-2008-3903

Gestion détaillée du document

le 06 avril 2009: version initiale.