S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 13 décembre 2011
N° CERTA-2011-AVI-682
Affaire suivie par: CERT-FR
le 13 décembre 2011

Avis du CERT-FR

Objet: Vulnérabilités dans Asterisk

Gestion du document

Référence CERTA-2011-AVI-682
Titre Vulnérabilités dans Asterisk
Date de la première version 13 décembre 2011
Date de la dernière version 13 décembre 2011
Source(s) Bulletin de sécurité Asterisk AST-2011-013
Bulletin de sécurité Asterisk AST-2011-014 du 03 novembre 2011
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service à distance ;
  • atteinte à la confidentialité des données.

Systèmes affectés

AST-2011-013 concerne :

  • Asterisk Open Source 1.6.2.x toutes versions ;
  • Asterisk Open Source 1.8.x toutes versions.

AST-2011-014 concerne :

  • Asterisk Open Source toutes versions.

Résumé

Deux vulnérabilités, permettant à un utilisateur malintentionné d'effectuer un déni de service à distance et de porter atteinte à la confidentialité de certaines données, sont présentes dans Asterisk.

Description

Deux vulnérabilités ont été découvertes dans Asterisk.

La première, AST-2011-013, permet à une personne malintentionée d'énumérer les noms d'utilisateur. Cette vulnérabilité est causée par une mauvaise configuration du NAT.

La seconde, AST-2011-014, permet à un utilisateur malintentionné de causer un déni de service à distance, lorsque l'option automon est activée dans le fichier features.conf, grâce à l'envoi d'une suite de paquets SIP.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 décembre 2011
    version initiale.