Vulnérabilités dans Asterisk

Gestion du document

Référence	CERTA-2012-AVI-478
Titre	Vulnérabilités dans Asterisk
Date de la première version	31 août 2012
Date de la dernière version	31 août 2012
Source(s)	Bulletin de sécurité Asterisk AST-2012-012 du 30 août 2012 Bulletin de sécurité Asterisk AST-2012-013 du 30 août 2012
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance ;
atteinte à la confidentialité des données.

Systèmes affectés

Asterisk Open Source versions antérieures à 1.8.15.1 ;
Asterisk Open Source versions antérieures à 10.7.1 ;
Certified Asterisk versions antérieures à 1.8.11-cert7 ;
Asterisk Digiumphones versions antérieures à 10.7.1-digiumphones ;
Asterisk Business Edition versions antérieures à C.3.7.6.

Résumé

Deux vulnérabilités ont été corrigées dans Asterisk. La première permet à un utilisateur malintentionné d'acquérir un interprèteur de commandes à distance. La seconde concerne le traitement des appels IAX2 et peut mener à un contournement de certaines règles ACL.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Asterisk AST-2012-012 du 30 août 2012 :
```
http://downloads.asterisk.org/pub/security/AST-2012-012.html
```
Bulletin de sécurité Asterisk AST-2012-013 du 30 août 2012 :
```
http://downloads.asterisk.org/pub/security/AST-2012-013.html
```

Référence CVE CVE-2012-2186 :

https://www.cve.org/CVERecord?id=CVE-2012-2186

Référence CVE CVE-2012-4737 :

https://www.cve.org/CVERecord?id=CVE-2012-4737

Avis du CERT-FR

Objet: Vulnérabilités dans Asterisk