S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 27 octobre 2009
N° CERTA-2009-AVI-457
Affaire suivie par: CERT-FR
le 27 octobre 2009

Avis du CERT-FR

Objet: Vulnérabilité dans Asterisk

Gestion du document

Référence CERTA-2009-AVI-457
Titre Vulnérabilité dans Asterisk
Date de la première version 27 octobre 2009
Date de la dernière version 27 octobre 2009
Source(s) Bulletin de sécurité Asterisk AST-2009-007 du 26 octobre 2009
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

Asterisk versions 1.6.1.x antérieures à 1.6.1.8.

Résumé

Une vulnérabilité dans Asterisk permet de contourner les règles de filtrage des appels.

Description

Une vulnérabilité a été découverte dans Asterisk. Un contrôle des ACL (règles de filtrage) est manquant lors de la gestion des méthodes INVITE de SIP, ce qui permet de réaliser des appels vers des réseaux théoriquement interdits.

Solution

Mettre à jour Asterisk en version 1.6.1.8 conformément au bulletin de sécurité de l'éditeur (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 27 octobre 2009
    version initiale.