Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2835-1 asterisk

Bulletin d'alerte Debian

DSA-2835-1 asterisk -- Dépassement de tampon

Date du rapport :

5 janvier 2014

Paquets concernés :

asterisk

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 732355.
Dans le dictionnaire CVE du Mitre : CVE-2013-7100.

Plus de précisions :

Jan Juergens a découvert un dépassement de tampon dans l'analyseur de messages SMS d'Asterisk.

Une modification supplémentaire a été rétroportée et est entièrement décrite dans http://downloads.asterisk.org/pub/security/AST-2013-007.html

Avec le correctif pour AST-2013-007, une nouvelle option de configuration a été ajouté afin de permettre à l'administrateur système de désactiver l'expansion de fonctions dangereuses (comme SHELL()) de toute interface n'étant pas dans le plan de numérotation. Dans stable et oldstable, cette option est désactivée par défaut. Pour l'activer, ajoutez la ligne suivante à la section [options] de /etc/asterisk/asterisk.conf (et relancez asterisk)

live_dangerously = no

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 1:1.6.2.9-2+squeeze12.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1:1.8.13.1~dfsg1-3+deb7u3.

Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 1:11.7.0~dfsg-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:11.7.0~dfsg-1.

Nous vous recommandons de mettre à jour vos paquets asterisk.