S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 29 mai 2012
N° CERTA-2012-AVI-298
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Asterisk

Gestion du document

Référence CERTA-2012-AVI-298
Titre Vulnérabilités dans Asterisk
Date de la première version29 mai 2012
Date de la dernière version29 mai 2012
Source(s) Bulletin de sécurité Asterisk AST-2012-007 du 29 mai 2012
Bulletin de sécurité Asterisk AST-2012-008 du 29 mai 2012

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

  • versions antérieures à Asterisk Open Source 1.8.12.1.
  • versions antérieures à Asterisk Open Source 10.4.1 ;
  • Versions antérieures à Certified Asterisk 1.8.11-cert2 ;

Résumé

Deux vulnérabilités ont été corrigées dans Asterisk. Une concerne le canal IAX2 et peut être exploitée à distance pour exécuter du code arbitraire. La deuxième est un déréférencement de pointeur nul, seul un déni de service peut être provoqué.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 29 mai 2012
    version initiale.