Vigil@nce : Asterisk, déni de service via IAX2 Call Number
septembre 2009 par Vigil@nce
Un attaquant peut employer tous les numéros d’appel disponibles,
afin de mener un déni de service sur Asterisk.
Gravité : 2/4
Conséquences : déni de service du service
Provenance : client internet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 04/09/2009
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Le protocole IAX2 dissocie les messages en utilisant un numéro
d’appel, qui est stocké sur 15 bits (32768 valeurs).
Cependant, un attaquant peut ouvrir 32768 sessions, afin
d’utiliser tous les numéros disponibles. Les utilisateurs
légitimes ne peuvent alors plus se connecter.
Un attaquant peut ainsi employer tous les numéros d’appel
disponibles, afin de mener un déni de service sur Asterisk.
CARACTÉRISTIQUES
Références : AST-2009-006, BID-36275, CVE-2009-2346,
VIGILANCE-VUL-8999
http://vigilance.fr/vulnerabilite/Asterisk-deni-de-service-via-IAX2-Call-Number-8999