Présence d'une vulnérabilité de déni de service à distance dans les produits Asterisk

Le protocole de contrôle RTCP (Real-Time Control Protocol) est un protocole qui fonctionne de pair avec le protocole RTP (Real-Time Protocol) pour monitorer la distribution des données sur les réseaux de grande taille. Le but étant de déterminer si RTP fournit la qualité de service (QoS) nécessaire et de compenser les latences éventuelles. RTCP est utilisé dans la téléphonie sur IP (VoIP), la télévision par protocole Internet (IPTV), la diffusion de médias en continu et sur les systèmes de vidéoconférence.

Une vulnérabilité dans la pile RTCP d’Asterisk a été identifiée et corrigée sur la dernière mise à jour de sécurité de l’éditeur. Elle permet à un attaquant non authentifié de provoquer un déni de service à distance sur le logiciel.

Si un paquet RTCP spécialement conçu est reçu contenant plus d'un rapport (par exemple un rapport de réception et un rapport d'expédition), la pile RTCP stockera de manière incorrecte les informations des rapports en dehors de la mémoire allouée, provoquant un déni de service sur l'application.

Pour toutes les versions d'Asterisk, cette vulnérabilité nécessite l'établissement d'un appel actif.

Informations
+

Impact

  • Déni de service.

Criticité

  • Majeure

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Asterisk Open Source 13.x, 14.x, 15.x.
  • Asterisk certifié 13.13

Recommandations
+

Correctifs

La vulnérabilité a été corrigée dans les versions 13.18.4, 14.7.4, 15.1.4 et sur la version certifié 13.13-cert9. Les correctifs sont disponibles via les liens suivants :

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.