Une vulnérabilité de déni de service de criticité moyenne a été identifiée sur Asterisk

Une vulnérabilité de déni de service de criticité moyenne a été découverte sur Asterisk (un autocommutateur téléphonique privé libre et propriétaire). Elle pourrait permettre à un utilisateur distant d’induire un blocage des services cibles.

Un ensemble de messages SIP sélectionnés crée une boîte de dialogue dans Asterisk. Ces messages SIP doivent contenir un en-tête de contact.

Sur les versions Open Source 13.x, 14.x et 15.x et Certified 13.18, si l'en-tête n'est pas présent sur ces messages SIP utilisant le canal PJSIP, Asterisk sera bloqué.

Pour exploiter cette vulnérabilité, l'authentification devrait être activée et une autorisation devrait être accordée à un utilisateur distant pour que ce dernier puisse envoyer des données SIP. Ainsi le risque que ce dernier envoie des données spécialement conçues sans en-tête de contact pour déclencher une erreur dans le pilote de canal PJSIP serait fortement restreint.

Informations
+

Criticité

  • Criticité moyenne

Impact

  • Déni de service à distance

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est publiquement disponible jusqu’à présent.

Composants & versions vulnérables

  • Asterisk Open Source 13.x toutes versions
  • Asterisk Open Source 14.x toutes versions
  • Asterisk Open Source 15.x toutes versions
  • Certified Asterisk 13.18 toutes versions

Recommandations
+

Correctif

Solution de contournement

Aucune solution de contournement n’est publique.