 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 04 mai 2011
No CERTA-2011-AVI-249-001 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Asterisk
Tableau 1: Gestion du document
| Référence |
CERTA-2011-AVI-249-001 |
| Titre |
Multiples
vulnérabilités dans Asterisk |
| Date de la première
version |
22 avril 2011 |
| Date de la dernière
version |
04 mai 2011 |
| Source(s) |
Bulletins de
sécurité AST-2011-005 et
AST-2011-006 du 21 avril 2011 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Déni de service à distance ;
- élévation de privilèges.
- Asterisk 1.4.x ;
- Asterisk 1.6.1.x ;
- Asterisk 1.6.2.x ;
- Asterisk 1.8.x ;
- Asterisk Business Edition C.x.x.
Deux vulnérabilités ont été
découvertes dans Asterisk :
- Il est possible de provoquer un déni de service
à distance ;
- un utilisateur authentifié sur la console
d'administration peut exécuter du code arbitraire sur
le système.
Deux vulnérabilités ont été
découvertes dans Asterisk :
- Une personne malveillante peut provoquer un déni
de service en saturant le serveur au moyen d'un grand nombre
de connexions TCP non authentifiées (Protocole Skinny,
SIP sur TCP, sur le serveur HTTP ou sur l'interface
d'administration) ;
- une erreur dans la console d'administration permet
à un utilisateur authentifié de contourner des
mesures de protection en place, et d'exécuter du code
arbitraire sur le système.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
Les versions 1.4.40.1, 1.6.1.25, 1.6.2.17.3, 1.8.3.3 et
C.3.6.4 corrigents ces vulnérabilités.
- 22 avril 2011
- version initiale.
- 04 mai 2011
- ajout de la référence CVE CVE-2011-1599 et
du bulletin de sécurité Debian.
CERTA
2012-01-04
|
|
)
