Vigil@nce : Asterisk, deux vulnérabilités
septembre 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant authentifié peut employer deux vulnérabilités
d’Asterisk, afin d’exécuter une commande shell, ou de contourner
les ACL.
– Produits concernés : Asterisk Open Source
– Gravité : 2/4
– Date création : 31/08/2012
DESCRIPTION DE LA VULNÉRABILITÉ
Deux vulnérabilités ont été annoncées dans Asterisk.
Un attaquant authentifié peut employer l’action AMI Originate avec
l’application ExternalIVR, afin d’exécuter une commande shell.
[grav:2/4 ; AST-2012-012, BID-55351, CVE-2012-2186]
Un attaquant, authentifié avec ARA (Asterisk Realtime
Architecture), peut effectuer un appel IAX2 en contournant les
règles d’ACL. [grav:2/4 ; AST-2012-013, BID-55335, CVE-2012-4737]
Un attaquant authentifié peut donc employer deux vulnérabilités
d’Asterisk, afin d’exécuter une commande shell, ou de contourner
les ACL.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Asterisk-deux-vulnerabilites-11911