HSC : Vulnérabilités critiques dans Asterisk
mars 2008 par HSC
Date : 19-03-2008
Criticité HSC : 4/5 - haute
Avis public : Oui
Exploitation : Disponible et publique
Résumé : Plusieurs vulnérabilités impactent l’ensemble des versions d’Asterisk
Source : Digium
Description :
Plusieurs vulnérabilités allant du déni de service à la possibilité de
passer des appels sans authentification et l’exécution de code à
distance, touchent Asterisk.
1 - Deux débordement de tampon dans la gestion du protocole RTP ont été
découverts, un premier dans le type de charge RTP et un deuxième dans le
nombre de charges RTP. (AST-2008-002)
2 - Une personne peux faire des appels sans s’authentifier en envoyant
un champ "From" vide, même si le paramètre "allowguest" du fichier
sip.conf est à "no". (AST-2008-003)
3 - Une chaîne de format n’est pas correctement prise en compte dans la
journalisation. Cette erreur pourrait générer un déni de service. (AST-
2008-004)
Références :
– CVE-2008-1289 (AST-2008-002)
http://downloads.digium.com/pub/security/AST-2008-002.html
– CVE-2008-1332 (AST-2008-003)
http://downloads.digium.com/pub/security/AST-2008-003.html
– CVE-2008-1333 (AST-2008-004)
http://downloads.digium.com/pub/security/AST-2008-004.html