Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2367-1 asterisk

Bulletin d'alerte Debian

DSA-2367-1 asterisk -- Plusieurs vulnérabilités

Date du rapport :

19 décembre 2011

Paquets concernés :

asterisk

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-4597, CVE-2011-4598.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Asterisk, une boîte à outils d'autocommutateur (PBX) et téléphonie.

• CVE-2011-4597

  Ben Williams a découvert qu'il est possible d'énumérer les noms d'utilisateurs SIP dans certaines configurations. Veuillez consulter l'annonce amont pour plus de précisions.

  Cette mise à jour ne modifie que le fichier de configuration sip.conf donné en exemple. Veuillez consulter le fichier README.Debian pour de plus amples renseignements sur la façon de mettre à jour votre installation.

• CVE-2011-4598

  Kristijan Vrban a découvert qu'Asterisk peut être planté avec des paquets SIP contrefaits si la fonctionnalité automon est activée.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1:1.4.21.2~dfsg-3+lenny6.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1:1.6.2.9-2+squeeze4.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:1.8.8.0~dfsg-1.

Nous vous recommandons de mettre à jour vos paquets asterisk.