Vigil@nce - Asterisk : multiples vulnérabilités
décembre 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de Asterisk.
Produits concernés : Asterisk Open Source, MBS
Gravité : 2/4
Date création : 21/11/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans Asterisk.
Un attaquant peut utiliser une adresse IPv4/IPv6, afin de
contourner un intervalle d’adresses IPv6/IPv4. [grav:2/4 ;
AST-2014-012, CVE-2014-8412]
Le module res_pjsip_acl ne charge pas toujours les ACL, ce qui
permet à un attaquant de contourner la politique. [grav:2/4 ;
AST-2014-013, CVE-2014-8413]
Un attaquant peut utiliser de nombreuses requêtes, afin de mener
un déni de service sur ConfBridge. [grav:2/4 ; AST-2014-014,
CVE-2014-8414]
Un attaquant peut envoyer des commandes après une requête
CANCEL, afin de mener un déni de service de PJSIP. [grav:2/4 ;
AST-2014-015, CVE-2014-8415]
Un attaquant peut envoyer un message INVITE illicite, afin de
mener un déni de service de res_pjsip_refer. [grav:2/4 ;
AST-2014-016, CVE-2014-8416]
Un attaquant peut utiliser ConfBridge, afin d’élever ses
privilèges. [grav:2/4 ; AST-2014-017, CVE-2014-8417]
Un attaquant peut utiliser AMI, afin d’élever ses privilèges.
[grav:2/4 ; AST-2014-018, CVE-2014-8418]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Asterisk-multiples-vulnerabilites-15687