Bulletin d'alerte Debian
DSA-2225-1 asterisk -- Plusieurs vulnérabilités
- Date du rapport :
- 25 avril 2011
- Paquets concernés :
- asterisk
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2011-1147, CVE-2011-1174, CVE-2011-1175, CVE-2011-1507, CVE-2011-1599.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans Asterisk, une boîte à outils d'autocommutateur (PBX) et téléphonie.
- CVE-2011-1147
Matthew Nicholson a découvert qu'un traitement incorrect de paquets UDPTL pourrait conduire à un déni de service ou à l'exécution de code arbitraire.
- CVE-2011-1174
Blake Cornell a découvert qu'un traitement incorrect de connexion dans l'interface de gestion pourrait conduire à un déni de service.
- CVE-2011-1175
Blake Cornell et Chris May ont découvert qu'un traitement incorrect de connexion TCP pourrait conduire à un déni de service.
- CVE-2011-1507
Tzafrir Cohen a découvert qu'une limite insuffisante de requêtes de connexion dans plusieurs services basés sur TCP pourrait conduire à déni de service. Veuillez vous référer à l'annonce de sécurité AST-2011-005 pour plus de précisions.
- CVE-2011-1599
Matthew Nicholson a découvert une vulnérabilité d'augmentation de droits dans l'interface de gestion.
Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1:1.4.21.2~dfsg-3+lenny2.1.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1:1.6.2.9-2+squeeze2.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:1.8.3.3-1.
Nous vous recommandons de mettre à jour vos paquets asterisk.
- CVE-2011-1147