Risque(s)
- exécution de code arbitraire à distance
- déni de service à distance
- contournement de la politique de sécurité
Systèmes affectés
- Asterisk Open Source versions antérieures à 1.8.28.1
- Asterisk Open Source versions antérieures à 11.10.1
- Asterisk Open Source versions antérieures à 12.3.1
- Certified Asterisk versions antérieures à 1.8.15-cert6
- Certified Asterisk versions antérieures à 11.6-cert3
Résumé
De multiples vulnérabilités ont été corrigées dans Asterisk. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Asterisk AST-2014-005 du 12 juin 2014
http://downloads.asterisk.org/pub/security/AST-2014-005.pdf
- Bulletin de sécurité Asterisk AST-2014-006 du 12 juin 2014
http://downloads.asterisk.org/pub/security/AST-2014-006.pdf
- Bulletin de sécurité Asterisk AST-2014-007 du 12 juin 2014
http://downloads.asterisk.org/pub/security/AST-2014-007.pdf
- Bulletin de sécurité Asterisk AST-2014-008 du 12 juin 2014
http://downloads.asterisk.org/pub/security/AST-2014-008.pdf
- Référence CVE CVE-2014-4045
https://www.cve.org/CVERecord?id=CVE-2014-4045
- Référence CVE CVE-2014-4046
https://www.cve.org/CVERecord?id=CVE-2014-4046
- Référence CVE CVE-2014-4047
https://www.cve.org/CVERecord?id=CVE-2014-4047
- Référence CVE CVE-2014-4048
https://www.cve.org/CVERecord?id=CVE-2014-4048