Risque
- Déni de service à distance.
Systèmes affectés
- Versions antérieures à Asterisk Open Source 1.8.13.1 ;
- versions antérieures à Asterisk Open Source 10.5.2 ;
- versions antérieures à Asterisk Business Edition C.3.7.5 ;
- versions antérieures à Certified Asterisk 1.8.11-cert4 ;
- versions antérieures à Asterisk Digiumphones 10.5.2-digiumphones.
Résumé
Deux vulnérabilités ont été corrigées dans les produits Asterisk. La première concerne la libération de sessions RTP et de dialogues SIP lors de l'envoi d'un message « re-invite » à un équipement distant. Cette vulnérabilité peut causer un déni de service à distance. La seconde concerne la consultation concurrente d'un « voicemail », elle peut provoquer un arrêt du service lors de la libération des connexions.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Asterisk AST-2012-010 du 05 juillet 2012 :
http://downloads.asterisk.org/pub/security/AST-2012-010.html
- Bulletin de sécurité Asterisk AST-2012-011 du 05 juillet 2012 :
http://downloads.asterisk.org/pub/security/AST-2012-011.html
- Référence CVE CVE-2012-3863 :
https://www.cve.org/CVERecord?id=CVE-2012-3863
- Référence CVE CVE-2012-3812 :
https://www.cve.org/CVERecord?id=CVE-2012-3812