Bulletin d'alerte Debian

DLA-1122-1 asterisk -- Mise à jour de sécurité pour LTS

Date du rapport :
5 octobre 2017
Paquets concernés :
asterisk
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 873908.
Dans le dictionnaire CVE du Mitre : CVE-2017-14100.
Plus de précisions :

Une vulnérabilité de sécurité a été découverte dans Asterisk, une boîte à outils au code source ouvert d’autocommutateur (PBX) et de téléphonie, qui pourrait conduire à une exécution de commande non autorisée.

Le module app_minivm possédait une option de configuration de programme externnotify exécutée par l’application de plan de numérotation MinivmNotify. L’application utilise le nom d’identifiant et le numéro d’appelant comme partie de la chaîne construite passée à l’interpréteur du système d’exploitation pour son interprétation et exécution. Un nom et numéro contrefaits, dans la mesure où ils peuvent provenir d'une source non fiable, permettaient une injection de commande arbitraire d’interpréteur.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 1:1.8.13.1~dfsg1-3+deb7u7.

Nous vous recommandons de mettre à jour vos paquets asterisk.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.