Bulletin d'alerte Debian

DSA-2367-1 asterisk -- Plusieurs vulnérabilités

Date du rapport :
19 décembre 2011
Paquets concernés :
asterisk
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2011-4597, CVE-2011-4598.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Asterisk, une boîte à outils d'autocommutateur (PBX) et téléphonie.

  • CVE-2011-4597

    Ben Williams a découvert qu'il est possible d'énumérer les noms d'utilisateurs SIP dans certaines configurations. Veuillez consulter l'annonce amont pour plus de précisions.

    Cette mise à jour ne modifie que le fichier de configuration sip.conf donné en exemple. Veuillez consulter le fichier README.Debian pour de plus amples renseignements sur la façon de mettre à jour votre installation.

  • CVE-2011-4598

    Kristijan Vrban a découvert qu'Asterisk peut être planté avec des paquets SIP contrefaits si la fonctionnalité automon est activée.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1:1.4.21.2~dfsg-3+lenny6.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1:1.6.2.9-2+squeeze4.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:1.8.8.0~dfsg-1.

Nous vous recommandons de mettre à jour vos paquets asterisk.