Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Asterisk Skinny Channel Driver : Déni de Service

08/08/2007 11H42
Référence Secunia : SA26340 
Date de publication : 2007-08-08

Risque : Non Critique. Niveau 2 sur 5.
Impact : DoS
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Asterisk 1.x
Asterisk Appliance Developer Kit 0.x

Description :
Une vulnérabilité a été rapportée dans Asterisk, qui pourrait être exploitée par des utilisateurs malicieux pour causer un Déni de Service (DoS).

La vulnérabilité est causée du fait que le Skinny channel driver (chan_skinny) traite improprement des paquets. Cela pourrait être exploité pour planter l'application en envoyant un "CAPABILITIES_RES_MESSAGE" packet avec le compteur de capacités plus grand que le nombre total de items dans le "capabilities_res_message" array.

La vulnérabilité est rapportée dans les versions suivantes:
Asterisk Open Source 1.4.x, versions inférieures à 1.4.10
AsteriskNOW pre-release, versions inférieures à beta7
Asterisk Appliance Developer Kit, versions inférieures à 0.7.0
s800i versions inférieures à 1.0.3.


Solutions :
Asterisk Open Source 1.4.x:
Mettre à jour en version 1.4.10.
http://downloads.digium.com/pub/telephony/asterisk

AsteriskNOW pre-release:
Mettre à jour en version beta7.
http://www.asterisknow.org/

Asterisk Appliance Developer Kit:
Mettre à jour en version 0.7.0.
http://downloads.digium.com/pub/telephony/aadk

s800i:
Mettre à jour en version 1.0.3.


Vulnérabilité découverte par :

L'éditeur crédite Wei Wang de McAfee AVERT Labs.

Référence :
http://downloads.digium.com/pub/asa/ASA-2007-019.pdf




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.