Vigil@nce - Asterisk Open Source : déni de service via UDPTL
avril 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut envoyer un paquet UDPTL malveillant vers
Asterisk Open Source, afin de mener un déni de service.
Produits concernés : Asterisk Open Source.
Gravité : 2/4.
Date création : 04/02/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Asterisk Open Source peut recevoir des fax via des flux
UDPTL.
Ces paquets UDPTL sont redondants pour permettre la correction des
pertes de paquets. Cependant, lorsqu’un paquet vide de ce type
précède la détection d’une perte, Asterisk tente de récupérer
les données correctives depuis une zone mémoire invalide, ce qui
provoque une exception fatale.
Un attaquant peut donc envoyer un paquet UDPTL malveillant vers
Asterisk Open Source, afin de mener un déni de service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Asterisk-Open-Source-deni-de-service-via-UDPTL-18871