LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2022 / Informations sur la sécurité -- DLA-2969-1 asterisk

Bulletin d'alerte Debian

DLA-2969-1 asterisk -- Mise à jour de sécurité pour LTS

Date du rapport :

3 avril 2022

Paquets concernés :

asterisk

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-13161, CVE-2019-18610, CVE-2019-18790, CVE-2019-18976, CVE-2020-28242.

Plus de précisions :

Plusieurs vulnérabilités sont corrigées dans Asterisk, une boîte à outils au code source ouvert pour autocommutateur téléphonique (PBX).

• CVE-2019-13161

  Un attaquant était capable de planter Asterisk lors du traitement d’une réponse SDP à une ré-invite T.38 sortante.

• CVE-2019-18610

  Les utilisateurs distants d’AMI (Asterisk Manager Interface) authentifiés sans autorisation du système pouvaient exécuter des commandes système arbitraires.

• CVE-2019-18790

  Vulnérabilité de détournement d’appel SIP.

• CVE-2019-18976

  Un plantage peut survenir si Asterisk reçoit une ré-invite d'envoi d'un fax T 38 et a un port 0 et pas de ligne c= dans le SDP.

• CVE-2020-28242

  Si Asterisk reçoit une demande d'authentification après une invite sortante, il entre dans une boucle infinie d'envois d'invite menant à une consommation excessive de mémoire provoquant l'arrêt ou le redémarrage de l'application.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 1:13.14.1~dfsg-2+deb9u6.

Nous vous recommandons de mettre à jour vos paquets asterisk.

Pour disposer d'un état détaillé sur la sécurité de asterisk, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/asterisk.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.