Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Asterisk SIP Channel Driver Dialog History Memory Exhaustion

22/08/2007 10H06
Référence Secunia : SA26553 
Date de publication : 2007-08-22

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : DoS
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Asterisk 1.x
Asterisk Appliance Developer Kit 0.x

Référence CVE :
CVE-2007-4455



Description :
Une vulnérabilité a été rapportée dans Asterisk, qui pourrait être exploitée par des personnes malintentionnées pour causer un Déni de Service (DoS).

La vulnérabilité est causée du fait que le SIP Dialog History of canal SIP driver (chan_sip) recording tout les éléments d'historique (88 octets par item) en mémoire. Cela pourrait être exploité pour causer un DoS du fait de remplissage mémoire en utilisant un grand nombre d'éléments journalisés.

La vulnérabilité est rapportée dans Asterisk 1.4.x précédente à la version 1.4.11. Asterisk Appliance Developer Kit 0.x.x précédente à la version 0.8.0 et s800i (Asterisk Appliance) 1.0.x précédente à la version 1.0.3 sont aussi affectées.


Solutions :
Asterisk 1.4.x:
Mettre à jour en version 1.4.11.
http://downloads.digium.com/pub/telephony/asterisk

Asterisk Appliance Developer Kit 0.x.x:
Mettre à jour en version 0.8.0.
http://downloads.digium.com/pub/telephony/aadk


Vulnérabilité découverte par :

L'éditeur crédite Jon Moldenauer.

Référence :
http://downloads.digium.com/pub/asa/AST-2007-020.pdf




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.