Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-457

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2009-AVI-457
Titre	Vulnérabilité dans Asterisk
Date de la première version	27 octobre 2009
Date de la dernière version	-
Source(s)	Bulletin de sécurité Asterisk AST-2009-007 du 26 octobre 2009
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Contournement de la politique de sécurité.

2 Systèmes affectés

Asterisk versions 1.6.1.x antérieures à 1.6.1.8.

3 Résumé

Une vulnérabilité dans Asterisk permet de contourner les règles de filtrage des appels.

4 Description

Une vulnérabilité a été découverte dans Asterisk. Un contrôle des ACL (règles de filtrage) est manquant lors de la gestion des méthodes INVITE de SIP, ce qui permet de réaliser des appels vers des réseaux théoriquement interdits.

5 Solution

Mettre à jour Asterisk en version 1.6.1.8 conformément au bulletin de sécurité de l'éditeur (cf. section Documentation).

6 Documentation

Bulletin de sécurité Asterisk AST-2009-007 du 26 octobre 2009 :
```
http://downloads.asterisk.org/pub/security/AST-2009-007.html
```

Gestion détaillée du document

27 octobre 2009: version initiale.

CERTA
2012-01-04

Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information

webmestre

Dernière mise à jour : le 25/05/2012

Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques