Bulletin d'alerte Debian

DSA-2493-1 asterisk -- Déni de service

Date du rapport :
12 juin 2012
Paquets concernés :
asterisk
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 675204, Bogue 675210.
Dans le dictionnaire CVE du Mitre : CVE-2012-2947, CVE-2012-2948.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans la boîte à outils d'autocommutateur (PBX) et téléphonie Asterisk.

  • CVE-2012-2947

    Le pilote de canal IAX2 permet aux attaquants distants de provoquer un déni de service (plantage du démon) en plaçant un appel en attente (quand un certain réglage de mohinterpret est activé).

  • CVE-2012-2948

    Le pilote de canal Skinny permet aux utilisateurs distants authentifiés de provoquer un déni de service (déréférencement de pointeur NULL et plantage du démon) en fermant une connexion en mode décroché.

De plus, Asterisk ne configure pas l'option alwaysauthreject par défaut dans le pilote de canal SIP. Cela permet aux attaquants distants d'observer une différence de comportement dans la réponse et la vérification de présence des noms de comptes (CVE-2011-2666). Les administrateurs système concernés par cette vulnérabilité d'énumération des utilisateurs devraient activer l'option alwaysauthreject dans la configuration. Nous n'avons pas l'intention de modifier le réglage par défaut dans la version stable (Asterisk 1.6) afin de préserver la compatibilité ascendante.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1:1.6.2.9-2+squeeze6.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1:1.8.13.0~dfsg-1.

Nous vous recommandons de mettre à jour vos paquets asterisk.