Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2225-1 asterisk

Bulletin d'alerte Debian

DSA-2225-1 asterisk -- Plusieurs vulnérabilités

Date du rapport :

25 avril 2011

Paquets concernés :

asterisk

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-1147, CVE-2011-1174, CVE-2011-1175, CVE-2011-1507, CVE-2011-1599.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Asterisk, une boîte à outils d'autocommutateur (PBX) et téléphonie.

• CVE-2011-1147

  Matthew Nicholson a découvert qu'un traitement incorrect de paquets UDPTL pourrait conduire à un déni de service ou à l'exécution de code arbitraire.

• CVE-2011-1174

  Blake Cornell a découvert qu'un traitement incorrect de connexion dans l'interface de gestion pourrait conduire à un déni de service.

• CVE-2011-1175

  Blake Cornell et Chris May ont découvert qu'un traitement incorrect de connexion TCP pourrait conduire à un déni de service.

• CVE-2011-1507

  Tzafrir Cohen a découvert qu'une limite insuffisante de requêtes de connexion dans plusieurs services basés sur TCP pourrait conduire à déni de service. Veuillez vous référer à l'annonce de sécurité AST-2011-005 pour plus de précisions.

• CVE-2011-1599

  Matthew Nicholson a découvert une vulnérabilité d'augmentation de droits dans l'interface de gestion.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1:1.4.21.2~dfsg-3+lenny2.1.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1:1.6.2.9-2+squeeze2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:1.8.3.3-1.

Nous vous recommandons de mettre à jour vos paquets asterisk.