Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Asterisk Manager Interface Command Processing Vulnérabilité

22/01/2007 17H30
Référence Secunia : SA15791 
Date de publication : 2005-06-23
Dernière mise à jour : 2006-02-01

Risque : Non Critique. Niveau 2 sur 5.
Impact : Accès au système
Lieu : Depuis le réseau local


Solutions :
Correctif de l'éditeur


Produit :
Asterisk 1.x

Référence CVE :
CVE-2005-2081


Description :
Wade Alcorn a rapporté une vulnérabilité dans Asterisk, qui pourrait être exploitée par des utilisateurs malicieux afin de compromettre un système vulnérable.

La vulnérabilité est causée du fait d'une erreur dans le traitement de commandes dans le Manager Interface. Cela pourrait être exploité pour exécuter des commandes arbitraires en fournissant une commande spécialement conçue string.

L'exploitation de ce problème est possible seulement si le Manager interface ait été activé (désactivée par défaut), the directive "write = command" a été ajouté à manager.conf, et l'utilisateur a été authentifié.

La vulnérabilité a été rapportée en version 1.0.7. Les versions précédentes pourraient également être affectées.


Solutions :
Mettre à jour en version 1.0.8.
http://www.asterisk.org/index.php?menu=download


Vulnérabilité découverte par :

Wade Alcorn
Historique :
2006-02-01: Référence CVE ajoutée.

Référence :
http://www.bindshell.net/voip/advisory-05-013.txt




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.