Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance ;
- élévation de privilèges.
Systèmes affectés
- Versions antérieures à Asterisk Open Source 1.6.2.24 ;
- versions antérieures à Asterisk Open Source 1.8.11.1 ;
- versions antérieures à Asterisk Open Source 10.3.1 ;
- versions antérieures à Asterisk Business Edition C.3.7.4.
Résumé
Trois vulnérabilités ont été corrigées dans Asterisk. La première permet à un utilisateur authentifié sur Asterisk Manager de contourner des contrôles de sécurité pour exécuter des commandes arbitraires. La seconde affecte le processus de gestion des événements KEYPAD_BUTTON_MESSAGE en queue dans Skinny, la vulnérabilité est de type « débordement de tampon dans le tas » (Heap Overflow). L'exploitation ne peut être faite que par des utilisateurs déjà authentifiés. La dernière vulnérabilité concerne un « déni de service à distance » sur le module SIP lors de l'envoi d'une requête SIP UPDATE (dans une fenêtre de temps particulière).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Asterisk AST-2012-004 du 23 avril 2012 :
http://downloads.asterisk.org/pub/security/AST-2012-004.html
- Bulletin de sécurité Asterisk AST-2012-005 du 23 avril 2012 :
http://downloads.asterisk.org/pub/security/AST-2012-005.html
- Bulletin de sécurité Asterisk AST-2012-006 du 23 avril 2012 :
http://downloads.asterisk.org/pub/security/AST-2012-006.html
- Référence CVE CVE-2012-2414 :
https://www.cve.org/CVERecord?id=CVE-2012-2414
- Référence CVE CVE-2012-2415 :
https://www.cve.org/CVERecord?id=CVE-2012-2415
- Référence CVE CVE-2012-2416 :
https://www.cve.org/CVERecord?id=CVE-2012-2416