Multiples vulnérabilités dans Asterisk
le 23 décembre 2013
De multiples vulnérabilités ont été corrigées dans Asterisk. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un déni de service à distance.
Il est recommandé de mettre à jour Asterisk vers une version non vulnérable.
Risque(s)
- exécution de code arbitraire à distance
- déni de service à distance
Systèmes affectés
- Versions antérieures à Asterisk Open Source 1.8.24.1
- Versions antérieures à Asterisk Open Source 10.12.4
- Versions antérieures à Asterisk Open Source 11.6.1
- Versions antérieures à Asterisk avec Digiumphones 10.12.4-digiumphones
- Versions antérieures à Certified Asterisk 1.8.15-cert4
- Versions antérieures à Certified Asterisk 11.2-cert3
Documentation
- Bulletin de sécurité Asterisk AST-2013-006 du 16 décembre 2013 : downloads.asterisk.org/pub/security/AST-2013-006.html
- Bulletin de sécurité Asterisk AST-2013-007 du 16 décembre 2013 : downloads.asterisk.org/pub/security/AST-2013-007.html
- Référence CVE CVE-2013-7100 : cve.mitre.org/cgi-bin/cvename.cgi Bulletin de sécurité du CERTA : www.certa.ssi.gouv.fr/site/CERTA-2013-AVI-680
