S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 09 juillet 2012
N° CERTA-2012-AVI-371
Affaire suivie par: CERT-FR
le 09 juillet 2012

Avis du CERT-FR

Objet: Vulnérabilités dans Asterisk

Gestion du document

Référence CERTA-2012-AVI-371
Titre Vulnérabilités dans Asterisk
Date de la première version 09 juillet 2012
Date de la dernière version 09 juillet 2012
Source(s) Bulletin de sécurité Asterisk AST-2012-010 du 05 juillet 2012
Bulletin de sécurité Asterisk AST-2012-011 du 05 juillet 2012
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service à distance.

Systèmes affectés

  • Versions antérieures à Asterisk Open Source 1.8.13.1 ;
  • versions antérieures à Asterisk Open Source 10.5.2 ;
  • versions antérieures à Asterisk Business Edition C.3.7.5 ;
  • versions antérieures à Certified Asterisk 1.8.11-cert4 ;
  • versions antérieures à Asterisk Digiumphones 10.5.2-digiumphones.

Résumé

Deux vulnérabilités ont été corrigées dans les produits Asterisk. La première concerne la libération de sessions RTP et de dialogues SIP lors de l'envoi d'un message « re-invite » à un équipement distant. Cette vulnérabilité peut causer un déni de service à distance. La seconde concerne la consultation concurrente d'un « voicemail », elle peut provoquer un arrêt du service lors de la libération des connexions.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 09 juillet 2012
    version initiale.