Bulletin d'alerte Debian

DSA-2225-1 asterisk -- Plusieurs vulnérabilités

Date du rapport :
25 avril 2011
Paquets concernés :
asterisk
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-1147, CVE-2011-1174, CVE-2011-1175, CVE-2011-1507, CVE-2011-1599.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Asterisk, une boîte à outils d'autocommutateur (PBX) et téléphonie.

  • CVE-2011-1147

    Matthew Nicholson a découvert qu'un traitement incorrect de paquets UDPTL pourrait conduire à un déni de service ou à l'exécution de code arbitraire.

  • CVE-2011-1174

    Blake Cornell a découvert qu'un traitement incorrect de connexion dans l'interface de gestion pourrait conduire à un déni de service.

  • CVE-2011-1175

    Blake Cornell et Chris May ont découvert qu'un traitement incorrect de connexion TCP pourrait conduire à un déni de service.

  • CVE-2011-1507

    Tzafrir Cohen a découvert qu'une limite insuffisante de requêtes de connexion dans plusieurs services basés sur TCP pourrait conduire à déni de service. Veuillez vous référer à l'annonce de sécurité AST-2011-005 pour plus de précisions.

  • CVE-2011-1599

    Matthew Nicholson a découvert une vulnérabilité d'augmentation de droits dans l'interface de gestion.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1:1.4.21.2~dfsg-3+lenny2.1.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1:1.6.2.9-2+squeeze2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:1.8.3.3-1.

Nous vous recommandons de mettre à jour vos paquets asterisk.