Risques
- Atteinte à la confidentialité des données
- Déni de service à distance
Systèmes affectés
AST-2011-013 concerne :
- Asterisk Open Source 1.6.2.x toutes versions ;
- Asterisk Open Source 1.8.x toutes versions.
AST-2011-014 concerne :
- Asterisk Open Source toutes versions.
Résumé
Deux vulnérabilités, permettant à un utilisateur malintentionné d'effectuer un déni de service à distance et de porter atteinte à la confidentialité de certaines données, sont présentes dans Asterisk.
Description
Deux vulnérabilités ont été découvertes dans Asterisk.
La première, AST-2011-013, permet à une personne malintentionée d'énumérer les noms d'utilisateur. Cette vulnérabilité est causée par une mauvaise configuration du NAT.
La seconde, AST-2011-014, permet à un utilisateur malintentionné de causer un déni de service à distance, lorsque l'option automon est activée dans le fichier features.conf, grâce à l'envoi d'une suite de paquets SIP.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Asterisk AST-2011-013 http://downloads.asterisk.org/pub/security/AST-2011-013.html
- Référence CVE CVE-2011-4597 https://www.cve.org/CVERecord?id=CVE-2011-4597
- Référence CVE CVE-2011-4598 https://www.cve.org/CVERecord?id=CVE-2011-4598
