Bulletin d'alerte Debian

DLA-455-1 asterisk -- Mise à jour de sécurité pour LTS

Date du rapport :
3 mai 2016
Paquets concernés :
asterisk
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 741313, Bogue 762164, Bogue 771463, Bogue 782411.
Dans le dictionnaire CVE du Mitre : CVE-2014-2286, CVE-2014-4046, CVE-2014-6610, CVE-2014-8412, CVE-2014-8418, CVE-2015-3008.
Plus de précisions :
  • CVE-2014-6610

    Asterisk Open Source 11.x avant 11.12.1 et 12.x avant 12.5.1, et Certified Asterisk 11.6 avant 11.6-cert6, permettent, lors de l'utilisation du module res_fax_spandsp, à des utilisateurs distants authentifiés de provoquer un déni de service (plantage) à l'aide d'un message « out of call » qui n'est pas géré correctement dans l'application du plan de numérotation de ReceiveFax.

  • CVE-2014-4046

    Asterisk Open Source 11.x avant 11.10.1 et 12.x avant 12.3.1, et Certified Asterisk 11.6 avant 11.6-cert3 permettent à des utilisateurs authentifiés Manager d'exécuter des commandes d'interpréteur arbitraires à l'aide d'une action MixMonitor.

  • CVE-2014-2286

    main/http.c dans Asterisk Open Source 1.8.x avant 1.8.26.1, 11.8.x avant 11.8.1 et 12.1.x avant 12.1.1, et Certified Asterisk 1.8.x avant 1.8.15-cert5 et 11.6 avant 11.6-cert2, permet à des attaquants distants de provoquer un déni de service (consommation de pile) et éventuellement d'exécuter du code arbitraire à l'aide d'une requête HTTP avec un grand nombre d'en-têtes Cookie.

  • CVE-2014-8412

    Les (1) pilotes de canal VoIP, (2) DUNDi, et (3) Asterisk Manager Interface (AMI) dans Asterisk Open Source 1.8.x avant 1.8.32.1, 11.x avant 11.14.1, 12.x avant 12.7.1 et 13.x avant 13.0.1, et Certified Asterisk 1.8.28 avant 1.8.28-cert3 et 11.6 avant 11.6-cert8 permettent à des attaquants distants de contourner les restrictions ACL à l'aide d'un paquet dont l'IP source ne partage pas la famille d'adresses IP de la première entrée ACL.

  • CVE-2014-8418

    La fonction DB dialplan dans Asterisk Open Source 1.8.x avant 1.8.32, 11.x avant 11.1.4.1, 12.x avant 12.7.1 et 13.x avant 13.0.1, et Certified Asterisk 1.8 avant 1.8.28-cert8 et 11.6 avant 11.6-cert8 permet à des utilisateurs distants authentifiés d'obtenir des privilèges à l'aide d'un appel à partir d'un protocole externe, comme démontré par le protocole AMI.

  • CVE-2015-3008

    Asterisk Open Source 1.8 avant 1.8.32.3, 11.x avant 11.17.1, 12.x avant 12.8.2 et 13.x avant 13.3.2, et Certified Asterisk 1.8.28 avant 1.8.28-cert5, 11.6 avant 11.6-cert11 et 13.1 avant 13.1-cert2, lors de l'enregistrement d'un périphérique SIP TLS, ne gèrent pas correctement un octet null dans un nom de domaine dans le champ Common Name (CN) du sujet d'un certificat X.509. Cela permet à des attaquants de type « homme du milieu » d'usurper l'identité de serveurs SSL arbitraires à l'aide d'un certificat contrefait émis par une autorité de certification légitime

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1:1.8.13.1~dfsg1-3+deb7u4 d'asterisk.