Vigil@nce : Asterisk, déni de service en mode pedantic
mars 2009 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsque Asterisk est configuré en mode pedantic, un attaquant
authentifié peut le stopper.
Gravité : 1/4
Conséquences : déni de service du service
Provenance : compte utilisateur
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : faible (1/3)
Date création : 11/03/2009
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Lorsque Asterisk est configuré en mode pedantic, des vérifications
supplémentaires sont effectuées sur les messages.
L’une de ces vérifications consiste à comparer les entêtes dans
les réponses avec celles des requêtes. Cependant, si l’un de ces
entêtes est absent, Asterisk déréférence un pointeur NULL.
Lorsque Asterisk est configuré en mode pedantic, un attaquant
authentifié peut ainsi le stopper.
CARACTÉRISTIQUES
Références : AST-2009-002, BID-34070, VIGILANCE-VUL-8528
http://vigilance.fr/vulnerabilite/Asterisk-deni-de-service-en-mode-pedantic-8528