Risques
- Déni de service à distance
- Élévation de privilèges
Systèmes affectés
- Asterisk 1.4.x ;
- Asterisk 1.6.1.x ;
- Asterisk 1.6.2.x ;
- Asterisk 1.8.x ;
- Asterisk Business Edition C.x.x.
Résumé
Deux vulnérabilités ont été découvertes dans Asterisk :
- Il est possible de provoquer un déni de service à distance ;
- un utilisateur authentifié sur la console d'administration peut exécuter du code arbitraire sur le système.
Description
Deux vulnérabilités ont été découvertes dans Asterisk :
- Une personne malveillante peut provoquer un déni de service en saturant le serveur au moyen d'un grand nombre de connexions TCP non authentifiées (Protocole Skinny, SIP sur TCP, sur le serveur HTTP ou sur l'interface d'administration) ;
- une erreur dans la console d'administration permet à un utilisateur authentifié de contourner des mesures de protection en place, et d'exécuter du code arbitraire sur le système.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Les versions 1.4.40.1, 1.6.1.25, 1.6.2.17.3, 1.8.3.3 et C.3.6.4 corrigents ces vulnérabilités.
Documentation
- Bulletin de sécurité Asterisk AST-2011-005 du 21 avril 2011 : http://downloads.asterisk.org/pub/security/AST-2011-005.html
- Bulletin de sécurité Asterisk AST-2011-006 du 21 avril 2011 : http://downloads.asterisk.org/pub/security/AST-2011-006.html
- Bulletin de sécurité Debian DSA-2225 du 25 avril 2011 : http://www.debian.org/security/2011/dsa-2225
- Référence CVE CVE-2011-1507 https://www.cve.org/CVERecord?id=CVE-2011-1507
- Référence CVE CVE-2011-1599 https://www.cve.org/CVERecord?id=CVE-2011-1599
