S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 27 octobre 2009
N° CERTA-2009-AVI-457
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Asterisk

Gestion du document

Référence CERTA-2009-AVI-457
Titre Vulnérabilité dans Asterisk
Date de la première version27 octobre 2009
Date de la dernière version27 octobre 2009
Source(s) Bulletin de sécurité Asterisk AST-2009-007 du 26 octobre 2009

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité

Systèmes affectés

Asterisk versions 1.6.1.x antérieures à 1.6.1.8.

Résumé

Une vulnérabilité dans Asterisk permet de contourner les règles de filtrage des appels.

Description

Une vulnérabilité a été découverte dans Asterisk. Un contrôle des ACL (règles de filtrage) est manquant lors de la gestion des méthodes INVITE de SIP, ce qui permet de réaliser des appels vers des réseaux théoriquement interdits.

Solution

Mettre à jour Asterisk en version 1.6.1.8 conformément au bulletin de sécurité de l'éditeur (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 27 octobre 2009
    version initiale.