Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
- versions antérieures à Asterisk Business Edition C.3.7.4.
- Versions antérieures à Asterisk Open Source 1.6.2.24 ;
- versions antérieures à Asterisk Open Source 1.8.11.1 ;
- versions antérieures à Asterisk Open Source 10.3.1 ;
Résumé
Trois vulnérabilités ont été corrigées dans Asterisk. La première permet à un utilisateur authentifié sur Asterisk Manager de contourner des contrôles de sécurité pour exécuter des commandes arbitraires. La seconde affecte le processus de gestion des événements KEYPAD_BUTTON_MESSAGE en queue dans Skinny, la vulnérabilité est de type « débordement de tampon dans le tas » (Heap Overflow). L'exploitation ne peut être faite que par des utilisateurs déjà authentifiés. La dernière vulnérabilité concerne un « déni de service à distance » sur le module SIP lors de l'envoi d'une requête SIP UPDATE (dans une fenêtre de temps particulière).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Asterisk AST-2012-004 du 23 avril 2012 http://downloads.asterisk.org/pub/security/AST-2012-004.html
- Bulletin de sécurité Asterisk AST-2012-005 du 23 avril 2012 http://downloads.asterisk.org/pub/security/AST-2012-005.html
- Bulletin de sécurité Asterisk AST-2012-006 du 23 avril 2012 http://downloads.asterisk.org/pub/security/AST-2012-006.html
- Référence CVE CVE-2012-2414 https://www.cve.org/CVERecord?id=CVE-2012-2414
- Référence CVE CVE-2012-2415 https://www.cve.org/CVERecord?id=CVE-2012-2415
- Référence CVE CVE-2012-2416 https://www.cve.org/CVERecord?id=CVE-2012-2416
