nous veillons pour votre sécurité depuis 1999

vulnérabilités

L'équipe Vigil@nce veille les vulnérabilités qui affectent votre parc informatique, puis propose les correctifs, une base et les outils pour y remédier.

vulnérabilités récentes

produits suivis

fil RSS

vulnérabilité

annonce de vulnérabilité CVE-2012-3553

Asterisk : déni de service via Station Key Pad Button

Synthèse de la vulnérabilité

Un attaquant distant authentifié sur SCCP/Skinny peut envoyer un message après un message Off Hook, afin de déréférencer un pointeur NULL, ce qui stoppe le service.
Produits concernés : Asterisk Open Source, Fedora.
Gravité : 2/4.
Date création : 15/06/2012.
Références : AST-2012-009, BID-54017, CERTA-2012-AVI-337, CVE-2012-3553, FEDORA-2012-9537, VIGILANCE-VUL-11712.

Description de la vulnérabilité

Le protocole SCCP (Skinny Call Control Protocol) est utilisé pour communiquer avec les produits Cisco.

Ce protocole utilise des messages :
- 0x0000 : Keep Alive Message
- 0x0003 : Station Key Pad Button Message
- 0x0006 : Station Off Hook Message
- etc.

Cependant, si Asterisk reçoit le message Station Key Pad Button après le message Station Off Hook, un pointeur NULL est déréférencé dans channels/chan_skinny.c.

Un attaquant distant authentifié sur SCCP/Skinny peut donc envoyer un message après un message Off Hook, afin de déréférencer un pointeur NULL, ce qui stoppe le service.
Bulletin Vigil@nce complet.... (accès gratuit)

Partagez ce bulletin

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit un correctif de vulnérabilités applicatives. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information. La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique.