Bulletin d'alerte Debian

DSA-5285-1 asterisk -- Mise à jour de sécurité

Date du rapport :
17 novembre 2022
Paquets concernés :
asterisk
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 1014998, Bogue 1018073, Bogue 1014976.
Dans le dictionnaire CVE du Mitre : CVE-2021-37706, CVE-2021-43299, CVE-2021-43300, CVE-2021-43301, CVE-2021-43302, CVE-2021-43303, CVE-2021-43804, CVE-2021-43845, CVE-2021-46837, CVE-2022-21722, CVE-2022-21723, CVE-2022-23608, CVE-2022-24763, CVE-2022-24764, CVE-2022-24786, CVE-2022-24792, CVE-2022-24793, CVE-2022-26498, CVE-2022-26499, CVE-2022-26651.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans Asterisk, un autocommutateur téléphonique privé (PBX) au code source ouvert. Des dépassements de tampon et d'autres erreurs de programmations pouvaient être exploités pour la divulgation d'informations ou l'exécution de code arbitraire.

Un soin particulier doit être pris lors de la mise à niveau vers cette nouvelle version amont. Certains fichiers et options de configuration ont été modifiés afin de remédier à certaines vulnérabilités de sécurité. Principalement, le récepteur TLS pjsip TLS n'accepte désormais que des connexions TLSv1.3 dans la configuration par défaut. Cela peut être annulé en ajoutant method=tlsv1_2 au transport dans pjsip.conf. Voir aussi https://issues.asterisk.org/jira/browse/ASTERISK-29017.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 1:16.28.0~dfsg-0+deb11u1.

Nous vous recommandons de mettre à jour vos paquets asterisk.

Pour disposer d'un état détaillé sur la sécurité de asterisk, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/asterisk.