DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-2323: Digium Asterisk, Digium Certified Asterisk: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie

Version 1 (2017-12-28 09:36)
Neues Advisory
Version 2 (2017-12-29 09:31)
Für Fedora 27 steht ein Sicherheitsupdate auf die aktuelle Version 14.7.5 im Status 'pending' bereit.

Betroffene Software

Digium Asterisk < 13.18.5
Digium Asterisk 13.x
Digium Asterisk < 14.7.5
Digium Asterisk 14.x
Digium Asterisk < 15.1.5
Digium Asterisk 15.x
Digium Certified Asterisk 13.13
Digium Certified Asterisk < 13.18-cert2

Betroffene Plattformen

GNU/Linux
Red Hat Fedora 27

Lösung

Patch

Asterisk Project Security Advisory - AST-2017-014: Crash in PJSIP resource when missing a contact header

Patch

Fedora Security Update FEDORA-2017-41242dfe10 (Fedora 27, asterisk-14.7.5-1.fc27)

Beschreibung

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Asterisk mit Hilfe speziell präparierter SIP-Nachrichten für einen Denial-of-Service-Angriff ausnutzen.

Der Hersteller informiert über die Schwachstelle in allen Versionen von Asterisk Open Source 13.x, 14.x und 15.x sowie Certified Asterisk 13.18 und stellt die Versionen Asterisk Open Source 13.18.5, 14.7.5 und 15.1.5 beziehungsweise Certified Asterisk 13.18-cert2 als Sicherheitsupdates bereit. Die Ausnutzung der Schwachstelle kann erschwert werden, indem Authentifizierungsmechanismen aktiviert werden.

Schwachstellen

CVE-2017-17850: Schwachstelle in Asterisk ermöglicht Denial-of-Service-Angriff

Dialoge können in Asterisk über eine bestimmte Folge von SIP-Nachrichten generiert werden, die einen Kontakt-Header beinhalten müssen. Bei Verwendung des PJSIP-Kanal-Treibers führt die Verarbeitung von SIP-Nachrichten ohne Kontakt-Header zu einem Absturz von Asterisk.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.