Bulletin d'alerte Debian

DSA-1952-1 asterisk -- Plusieurs vulnérabilités, annonce de fin de vie dans oldstable

Date du rapport :
15 décembre 2009
Paquets concernés :
asterisk
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 513413, Bogue 522528, Bogue 554487, Bogue 554486, Bogue 559103.
Dans le dictionnaire CVE du Mitre : CVE-2009-0041, CVE-2008-3903, CVE-2009-3727, CVE-2008-7220, CVE-2009-4055, CVE-2007-2383.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Asterisk, une boîte à outils d'autocommutateur (PBX) et téléphonie. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2009-0041

    Il est possible de déterminer des noms de connexion valables en essayant, à cause de la réponse IAX2 d'Asterisk (AST-2009-001).

  • CVE-2008-3903

    Il est possible de déterminer un nom d'utilisateur SIP valable, lorsque les authentifications Digest et authalwaysreject sont activées (AST-2009-003).

  • CVE-2009-3727

    Il est possible de déterminer un nom d'utilisateur SIP valable à l'aide de plusieurs messages REGISTER contrefaits (AST-2009-008).

  • CVE-2008-7220 CVE-2007-2383

    Asterisk contient une copie obsolète du système JavaScript Prototype, qui est vulnérable à plusieurs problèmes de sécurité. Cette copie n'est pas utilisée et est maintenant retirée d'Asterisk (AST-2009-009).

  • CVE-2009-4055

    Il est possible de réaliser une attaque par déni de service à l'aide d'une charge utile (payload) RTP de bruit de confort(comfort noise) avec une longueur de données importante (AST-2009-010).

La version actuellement distribuée dans oldstable n'est plus suivie en amont et est concernée par plusieurs problèmes de sécurité Le rétroportage des correctifs pour ces problèmes et ceux à venir est devenu impossible et par conséquent nous devons abandonner le suivi en sécurité pour la version distribuée dans oldstable. Nous recommandons à tous les utilisateurs d'Asterisk de mettre à niveau vers la distribution stable (Lenny).

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 1:1.4.21.2~dfsg-3+lenny1.

Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:1.6.2.0~rc7-1.

Nous vous recommandons de mettre à jour vos paquets asterisk.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg.orig.tar.gz
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1.dsc
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1.diff.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-sounds-main_1.4.21.2~dfsg-3+lenny1_all.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-config_1.4.21.2~dfsg-3+lenny1_all.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-doc_1.4.21.2~dfsg-3+lenny1_all.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dev_1.4.21.2~dfsg-3+lenny1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_alpha.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_alpha.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_amd64.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_amd64.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_arm.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_arm.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_arm.deb
ARM EABI:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_armel.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_armel.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_armel.deb
HP Precision:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_hppa.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_hppa.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_i386.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_i386.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_ia64.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_ia64.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_mips.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_mips.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_mips.deb
PowerPC:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_powerpc.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/a/asterisk/asterisk_1.4.21.2~dfsg-3+lenny1_sparc.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-dbg_1.4.21.2~dfsg-3+lenny1_sparc.deb
http://security.debian.org/pool/updates/main/a/asterisk/asterisk-h323_1.4.21.2~dfsg-3+lenny1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.