Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Asterisk Predictable HTTP Manager ID Faille

19/03/2008 13H01
Référence Secunia : SA29449 
Date de publication : 2008-03-19

Risque : Non Critique. Niveau 1 sur 5.
Impact : Détournement
Lieu : Depuis le réseau local


Solutions :
Solution de l'éditeur


Produit :
Asterisk 1.x
Asterisk Appliance Developer Kit 0.x
Asterisk Business Edition 2.x

Référence CVE :
CVE-2008-1390



Description :
Dino A. Dai Zovi a rapporté une faiblesse dans Asterisk, qui pourrait être exploitée par des personnes malintentionnées pour détourner une session utilisateur.

Le défaut est causé du fait que le HTTP Manager ID est prévisible. Cela pourrait être exploité pour détourner a manager's session en demandant l'ID de session.

Le défaut est rapporté dans:
* Asterisk Open Source 1.4.x précédente à 1.4.19-rc3
* Asterisk Open Source 1.6.x précédente à 1.6.0-beta6
* Asterisk Business Edition C.x.x précédente à C.1.6
* AsteriskNOW précédente à 1.0.2
* Asterisk Appliance Developer Kit précédente à SVN revision 104704
* s800i (Asterisk Appliance) précédente à la version 1.1.0.2


Solutions :
Asterisk Open Source 1.4.x:
Fixé en version 1.4.19-rc3

Asterisk Open Source 1.6.x:
Fixé en version 1.6.0-beta6

Asterisk Business Edition C.x.x:
Fixé en version C.1.6

AsteriskNOW:
Mettre à jour pour 1.0.2.

Asterisk Appliance Developer Kit:
Corrigé avec SVN revision 104704.

s800i (Asterisk Appliance):
Mettre à jour en version 1.1.0.2


Vulnérabilité découverte par :

Dino A. Dai Zovi

Référence :
http://downloads.digium.com/pub/security/AST-2008-005.html




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.