Informations de sécurité / 2018 / Informations sur la sécurité -- DSA-4292-1 kamailio

Bulletin d'alerte Debian

DSA-4292-1 kamailio -- Mise à jour de sécurité

Date du rapport :

11 septembre 2018

Paquets concernés :

kamailio

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 908324.
Dans le dictionnaire CVE du Mitre : CVE-2018-16657.

Plus de précisions :

Henning Westerholt a découvert un défaut relatif au traitement des en-têtes Via dans kamailio, un serveur SIP très rapide, dynamique et modulable. Un attaquant non authentifié peut tirer avantage de ce défaut pour monter une attaque par déni de service à l'aide d'un message SIP contrefait pour l'occasion avec un en-tête Via non valable.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 4.4.4-2+deb9u3.

Nous vous recommandons de mettre à jour vos paquets kamailio.

Pour disposer d'un état détaillé sur la sécurité de kamailio, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/kamailio.