Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Asterisk Cisco SCCP chan_skinny : Dépassement d'Entier

20/10/2006 10H21
Référence Secunia : SA22480
Date de publication : 2006-10-20

Risque : Moyennement critique. Niveau 3 sur 5.

Impact : DoS, Accès au système
Lieu : Depuis le réseau local

Solutions :
Correctif de l'éditeur

Produit :
Asterisk 1.x

Description :
Adam Boileau a rapporté une vulnérabilité dans Asterisk, qui pourrait être exploitée par des personnes malintentionnées pour causer un Déni de Service (DoS) et potentiellement compromettre un système vulnérable.

La vulnérabilité est causée du fait d'un dépassement de capacité de type "integer overflow" dans la fonction "get_input()" dans chan_skinny.c. Cela pourrait être exploité pour causer un "heap overflow" en envoyant des paquets spécialement conçus to the Asterisk Skinny channel driver.

L'exploitation de ce problème peut permettre l'exécution de commandes arbitraires, mais n'est possible seulement si "chan_skinny" est lancé.

La vulnérabilité est rapportée dans Asterisk 1.0.x précédente à 1.0.12 et dans la branche 1.2.x précédente à 1.2.13. Les autres versions pourraient également être affectées.

Solutions :
Mettre à jour en version 1.0.12 ou 1.2.13.

Vulnérabilité découverte par :

Adam Boileau, Security-Assessment.com.

Référence :
http://lists.grok.org.uk/pipermail/full-disclosure/2006-Octobre/050171.html

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20081023 Cisco ASA et PIX VPN Contournement de l'Authentification 3

20081023 Cisco ASA et PIX IPv6 Déni de Service 3

20081023 Cisco ASA Crypto Accelerator Fuite Mémoire 3

20081009 Cisco Unity Vulnérabilités Diverses 2

20081009 Cisco Unity Vulnérabilité d'Insertion de Script 1

20080925 Cisco Unified Communications Manager SIP Vulnérabilités de Déni de Service 3

20080925 Cisco IOS Vulnérabilités Diverses 3

20080904 Cisco Secure ACS EAP Packet Déni de Service 2

20080904 Cisco ASA et PIX Security Appliances Vulnérabilités Diverses 3

20080723 Asterisk Deux Vulnérabilités de Déni de Service

20080709 Produits Cisco DNS Cache Poisoning Vulnérabilité

20080626 Cisco Wide Area Application Services CUPS IPP Tags Corruption de la Mémoire

20080626 Cisco Unified Communications Manager Contournement de l'Authentification et Déni de Service

20080619 Cisco Intrusion Prevention System Jumbo Frames Déni de Service

20080618 Cisco VPN Client Deterministic Network Enhancer Elévation de Privilèges

20080611 Produits Cisco SNMPv3 Deux Vulnérabilités

20080605 Cisco ASA et PIX Security Appliances Vulnérabilités Diverses

20080605 Asterisk Addons ooh323 Vulnérabilité de Déni de Service

20080522 Cisco Service Control Engine SSH Server Vulnérabilités de Déni de Service

20080522 Cisco IOS SSH Server Déni de Service

20080515 Cisco Unified Presence SIP Proxy Service Déni de Service

20080423 Asterisk IAX2 Handshake Déni de Service

20080417 Cisco Network Admission Control Divulgation d'Informations

20080404 Cisco Unified Communications Disaster Recovery Framework Exécution de Commande

20080327 Cisco IOS Vulnérabilité de Déni de Service

20080319 Asterisk Predictable HTTP Manager ID Faille

20080313 Cisco User Changeable Password Vulnérabilités Diverses

20080214 Cisco Unified IP Phone Vulnérabilités Diverses

20080214 Cisco Unified Communications Manager key Injection SQL

20080131 Cisco Wireless Control System Apache Tomcat JK Web Server Connector Buffer Overflow

20080124 Cisco PIX et ASA Time To Live Vulnérabilité de Déni de Service

20080117 Cisco VPN Client IPSec Driver Déni de Service Local

20080117 Cisco Unified Communications Manager CTL Provider Service Buffer Overflow

20080103 Asterisk BYE Also Vulnérabilité de Déni de Service

20071220 Cisco Firewall Services Module Vulnérabilité de Déni de Service

20071219 Asterisk Registration Database Contournement de la Sécurité

20071206 Cisco Security Agent System Driver Vulnérabilité de Dépassement de Tampon

20071130 Asterisk Postgres Realtime Engine Injection SQL

20071017 Asterisk Addons cdr addon mysql Vulnérabilité d'Injection SQL

20071011 Cisco IOS Line Printer Daemon Vulnérabilité de Dépassement de Tampon

20071011 Asterisk IMAP Storage Voicemail Buffer Overflow

20070927 Cisco Catalyst 6500 Cisco 7600 Series Devices Accessible Loopback Address Faille

20070913 Cisco IOS Regular Expressions Déni de Service

20070906 Cisco Video Surveillance IP Gateway et Services Platform Contournement de l'Authentification

20070906 Cisco Catalyst Content Switching Modules Vulnérabilités de Déni de Service

20070830 Cisco CallManager CUCM Cross Site Scripting et Injection SQL

20070827 Asterisk Voicemail IMAP Backend Invalid MIME Déni de Service

20070822 Asterisk SIP Channel Driver Dialog History Memory Exhaustion

20070821 Cisco IP Phone 7940 SIP Message Sequence Déni de Service

20070816 Produits Cisco Multiple Wireless ARP Requests Déni de Service

20070816 Cisco VPN Client Vulnérabilités d'Elévation de Privilèges

20070809 Cisco Unified MeetingPlace STPL et FTPL Cross Site Scripting

20070809 Cisco Unified Communications Manager SIP Packet Processing Vulnérabilité

20070809 Cisco IOS Voice Service Multiple Protocol Handling Vulnérabilités

20070809 Cisco IOS Secure Copy Contournement de la Sécurité

20070809 Cisco IOS Next Hop Resolution Protocol Buffer Overflow

20070809 Cisco IOS IPv6 Routing Header Divulgation d'Informations et Déni de Service

20070808 Asterisk Skinny Channel Driver Déni de Service

20070730 Asterisk IAX2 Channel Driver Déni de Service

20070726 Produits Cisco Java Secure Socket Extension SSL TLS Request Déni de Service

20070719 Cisco Wide Area Application Services Edge Services SYN Flood Déni de Service

20070719 Asterisk Vulnérabilités Diverses

20070712 Cisco Unified Communications Manager et Presence Server Contournement de la Sécurité

20070712 Cisco Unified Communications Manager Deux Vulnérabilités

20070523 Produits Cisco Crypto Library Déni de Service

20070523 Cisco IOS SSL Messages Vulnérabilités de Déni de Service

20070523 Cisco CallManager Vulnérabilité Cross Site Scripting

20070515 Produits Cisco HTTP Unicode Encoding Detection Bypass

20070510 Cisco IOS FTP Server Vulnérabilités Diverses

20070503 Cisco PIX et ASA Déni de Service et Contournement de la Sécurité

20070426 Produits Cisco PHP htmlentities et htmlspecialchars Buffer Overflows

20070425 Asterisk T 38 SDP Buffer Overflows et Management Interface Déni de Service

20070413 Cisco Wireless Control System Vulnérabilité et Faille de Sécurités

20070403 Asterisk AEL Extensions Contournement de la Sécurité

20070329 Cisco Unified CallManager et Presence Server ICMP Echo et IPSec Déni de Service

20070329 Cisco Unified CallManager SCCP et SCCPS Déni de Service

20070322 Asterisk SIP Response Code Déni de Service

20070320 Cisco IP Phone 7940 7960 SIP INVITE Vulnérabilité de Déni de Service

20070301 Produits Cisco NAM SNMP Spoofing Vulnérabilité

20070301 Produits Cisco MPLS Vulnérabilité de Déni de Service

20070222 Cisco Unified IP Conference Station IP Phone Compte par Defauts

20070222 Cisco Secure Services Client Vulnérabilités Diverses

20070215 Cisco PIX et ASA Elévation de Privilèges et Déni de Service

20070215 Cisco PIX SIP Inspection Déni de Service

20070215 Cisco Firewall Services Module Vulnérabilités Diverses

20070215 Cisco Firewall Services Module SIP DoS et ACL Corruption

20070214 Cisco IOS IPS Contournement de la Sécurité et Déni de Service

20070131 Cisco IOS Traitement de Paquet SIP Reload Déni de Service

20070119 Produits Cisco SSL TLS et SSH Validation Faille de Sécurité

20070111 Produits Cisco Multiple JTapi Gateway Déni de Service

20070111 Cisco IOS DLSw Vulnérabilité de Déni de Service

20061109 Produits Cisco OpenSSL Vulnérabilités

20061102 Cisco Security Agent LDAP Contournement de l'Authentification

20061026 Cisco Security Agent pour Linux Port Scan Déni de Service

20061020 Asterisk Cisco SCCP chan skinny Dépassement d'Entier

20060921 Cisco Intrusion Prevention System Fragmented IP Packets Contournement de la Sécurité

20060921 Cisco IOS DOCSIS Community String Vulnérabilité

20060921 Cisco Guard meta refresh Vulnérabilité Cross Site Scripting

20060914 Cisco CatOS VTP Configuration Revision Handling Vulnérabilité

20060824 Produits Cisco Firewall Unintentional Password Modification

20060824 Cisco VPN 3000 Concentrator FTP Management Vulnérabilités

20060803 Cisco CallManager Express SIP User Directory Disclosure

20060717 Asterisk IAX2 Call Request Flooding Déni de Service

20060713 Cisco Unified CallManager Vulnérabilités Diverses

20060713 Cisco Router Web Setup Insecure Default Cisco IOS Configuration

20060713 Cisco IPS Packet Handling Vulnérabilité de Déni de Service

20060629 Cisco Wireless Control System Vulnérabilités Diverses

20060629 Cisco Wireless Access Point Web Management Vulnérabilité

20060626 Cisco Secure ACS Session Management Faille de Sécurité

20060623 Cisco CallManager RealVNC Password Contournement de l'Authentification

20060620 Cisco CallManager Interface Web Vulnérabilités Cross Site Scripting

20060616 Cisco Secure ACS for Unix Vulnérabilité Cross Site Scripting

20060614 Cisco WebVPN Vulnérabilité Cross Site Scripting

20060607 Asterisk IAX2 Channel Driver Vulnérabilité de Déni de Service

20060525 Cisco VPN Client Vulnérabilité d'Elévation de Privilèges

20060511 Cisco Application Velocity System Open Relay Faille de Sécurité

20060509 Cisco PIX ASA FWSM WebSense URL Filtering Bypass

20060502 Cisco Unity Express Expired Password Change Vulnérabilité

20060424 Asterisk JPEG Traitement d'Image Vulnérabilité de Dépassement de Tampon

20060420 Cisco WLSE Elévation de Privilèges et Cross Site Scripting

20060420 Cisco IOS XR MPLS Vulnérabilités de Déni de Service

20060420 Cisco Hosting Solution Engine User Registration Tool Elévation de Privilèges

20060420 Cisco ESSE SMS Vulnérabilité d'Elévation de Privilèges

20060406 Cisco Optical Networking System 15000 Series Vulnérabilités Diverses

20060406 Cisco 11500 Content Services Switch HTTP Compression Déni de Service

20060127 Cisco VPN 3000 Concentrator HTTP Packet Déni de Service

20060126 Cisco IOS AAA Command Contournement de l'Authentification

20060119 Cisco IOS Stack Group Bidding Protocol Déni de Service

20060119 Cisco CallManager Connection Handling Déni de Service

20060119 Cisco Call Manager CCMAdmin Elévation de Privilèges

20060118 Cisco IOS CDP Status Page Vulnérabilité d'Insertion de Script

20060116 Cisco IP Phones SYN Flood Device Reload

20060113 Cisco Access Point ARP Memory Exhaustion Déni de Service

20060112 Cisco CS MARS Undocumented Root Account

20060103 Cisco Secure Access Control Server Downloadable IP Access Control List

20051222 Cisco Clean Access Manager Obsolete JSP Files

20051205 Cisco Products OpenSSL Potential SSL 2 0 Rollback Vulnerability

20051130 Cisco Security Agent Vulnérabilité d'Elévation de Privilèges en Local

20051130 Cisco IOS HTTP Server Vulnérabilité d'Insertion de Script

20051123 Cisco PIX Déni de Service via Paquets Spoofes

20051117 Cisco Wireless IP Phone Deux Vulnérabilités

20051115 Cisco ASA Déni de Service

20051114 Cisco Déni de Service

20051108 Asterisk Divulgation de Fichiers

20051103 Cisco Wireless LAN Controllers Controunement du Cryptage

20051103 Cisco IOS Exécution de Code Arbitraire Potentielle

20051102 Cisco Management Center for IPS Sensors Faille de Sécurité

20051020 Cisco CSS Déni de Service dans le Traitement de Certificat Client SSL

20050909 Cisco CSS SSL Contournement de l'Authentification

20050908 Cisco IOS Authentication Proxy pour FTP Telnet Buffer Overflow

20050823 Cisco Intrusion Prevention System Elévation de Privilèges

20050823 Cisco IDS Management Software SSL Certificate Validation Vulnérabilité

20050823 Cisco Clean Access Host based Check Bypass Faille de Sécurité

20050818 Cisco Clean Access Acces Sans Authentification à une API

20050729 Cisco IOS Traitement de Paquet IPv6 Vulnérabilité

20050714 Cisco Security Agent Packet Handling Déni de Service

20050714 Cisco ONS 15216 OADM Telnet Session Déni de Service

20050713 Cisco CallManager Multiple Memory Handling Vulnérabilités

20050630 Cisco IOS RADIUS Authentication Contournement de la Sécurité

20050623 Asterisk Manager Interface Command Processing Vulnérabilité

20050621 Cisco IPsec VPN Implementation Group Name Enumeration Faille

20050524 Produits Cisco Various Compressed DNS Messages Déni de Service

20050519 Produits Cisco Various TCP Timestamp Déni de Service

20050512 Cisco Firewall Services Module TCP Packet URL Filtering Bypass

20050412 Produits Cisco Various ICMP Message Handling Déni de Service

20050407 Cisco IOS Secure Shell Server Vulnérabilités de Déni de Service

20050407 Cisco IOS IKE XAUTH Implementation Vulnérabilités de Contournement de la Sécurité

20050331 Cisco VPN Concentrator 3000 Series HTTPS Packet Déni de Service

20050225 Cisco ACNS Network Traffic Handling Vulnérabilités de Déni de Service

20050203 Cisco IP VC 3500 Series Hard Coded SNMP Community Strings

20050127 Cisco IOS MPLS Packet Processing Déni de Service

20050127 Cisco IOS IPv6 Packet Processing Déni de Service

20050127 Cisco IOS BGP Protocol Processing Déni de Service

20050120 Cisco IOS SCCP Control Protocol Message Déni de Service

20041216 Cisco Unity Default Usernames et Passwords

20041216 Cisco Guard Inappropriate Default root Password

20041203 Cisco CNS Network Registrar Vulnérabilités de Déni de Service

20041112 Cisco Security Agent Buffer Overflow Detection Contournement de la Sécurité

20041111 Cisco IOS DHCP Packet Handling Vulnérabilité de Déni de Service

20041103 Cisco Secure ACS EAP TLS User Contournement de l'Authentification

20040901 Cisco VPN 3000 Concentrator Multiple Kerberos Vulnérabilités

20040827 Cisco IOS Telnet Service Vulnérabilité de Déni de Service

20040826 Cisco Secure Access Control Server Vulnérabilités Diverses

20040819 Cisco IOS OSPF Packet Handling Vulnérabilité de Déni de Service

20040721 Cisco ONS 15000 Vulnérabilités de Déni de Service

20040701 Cisco Collaboration Server ServletExec Arbitrary Vulnérabilité d'Upload de Fichier

20040616 Cisco IOS BGP Processing Vulnérabilité de Déni de Service

20040610 Cisco CatOS TCP ACK Vulnérabilité de Déni de Service

20040421 Produits Cisco Non IOS TCP Connection Reset Déni de Service

20040421 Cisco IOS TCP Connection Reset Vulnérabilité de Déni de Service

20040421 Cisco IOS SNMP Request Processing Vulnérabilité

20040416 Cisco IPsec VPN Implementation Group User Divulgation de Mot de Passe

20040409 Cisco IPSec IKE Packet Handling Vulnérabilité de Déni de Service

20040317 Produits Cisco Multiple OpenSSL Vulnérabilité de Déni de Service

20040305 Cisco Content Services Switch 11000 Series Déni de Service

20040220 Cisco ONS 15000 Vulnérabilités Diverses

20040204 Cisco 6000 6500 7600 Series Vulnérabilité de Déni de Service

20040122 Produits Cisco Voice Director Agent Insecure Default Installation

20040113 Produits Cisco Multiple H 323 Protocol Vulnérabilités de Déni de Service

20040109 Cisco Personal Assistant Password Contournement de l'Authentification

20031215 Cisco PIX SNMPv3 et VPNC Vulnérabilités de Déni de Service

20031215 Cisco Firewall Services Module Vulnérabilités de Déni de Service

20031211 Cisco ACNS Authentication Module Vulnérabilité de Dépassement de Tampon

20031203 Cisco Aironet AP Static WEP Key Disclosure Vulnérabilité

20031001 Cisco OpenSSL Vulnérabilités

20030917 Produits Cisco Multiple Affected by OpenSSH Vulnérabilité

20030913 Asterisk CallerID Vulnérabilité d'Injection SQL

20030905 Asterisk SIP Request Vulnérabilité de Dépassement de Tampon

20030808 Cisco Content Services Switch Déni de Service

20030801 Cisco IOS Possible Exposure of Memory

20030731 Cisco IOS User Enumeration

20030731 Cisco IOS Long HTTP Request Buffer Overflow

20030729 Cisco Aironet Déni de Service et Enumeration of User Accounts

20030717 Cisco IOS IPv4 Packet Processing Vulnérabilité de Déni de Service

20030709 Cisco Catalyst Switch Non Standard TCP Flag Combination DoS Vulnérabilité

20030519 Cisco VPN Client Arbitrary Program Exécution Vulnérabilité

20030515 Cisco IOS SAA RTR Déni de Service

20030508 Cisco VPN 3000 Concentrator Vulnérabilités Diverses

20030502 Cisco ONS 15000 Series Invalid FTP Telnet Request Déni de Service

20030501 Cisco Content Services Switch Unsupported DNS Query Déni de Service

20030424 Cisco Secure ACS Administration Service Buffer Overflow

20030424 Cisco Catalyst User Contournement de l'Authentification

20030224 Cisco IOS OSPF Neighbour Vulnérabilité de Dépassement de Tampon

20030222 Cisco Session Initiation Protocol DoS

20030211 Cisco IOS Route Manipulation via ICMP Redirects

20021220 Cisco IOS SSH vulnérabilités

20021220 Cisco IOS EIGRP Déni de Service

20021211 Cisco OSM Line Cards Déni de Service

20021120 Cisco PIX vulnérabilités

20021111 Cisco PIX Déni de Service

20021031 Cisco ONS 15000 multiples vulnérabilités

20021016 Cisco Catalyst HTTP Server Buffer Overflow

20021004 Cisco Unity appels internationaux par defaut

20021004 Cisco SCA vulnerable à faille SSL

20020919 Cisco IP Phones Probleme de Conception

20020918 Cisco Advisory Multiple Problemes

Securite informatique

JA-PSI - Sécurité informatique - Tous droits réservés

formation sécurité informatiqe