alerte de vulnérabilité CVE-2012-3812 CVE-2012-3863

Asterisk : deux dénis de service

Synthèse de la vulnérabilité

Un attaquant authentifié peut employer deux vulnérabilités d'Asterisk, afin de le stopper.
Produits concernés : Asterisk Open Source, Debian, Fedora.
Gravité : 2/4.
Date création : 06/07/2012.
Références : AST-2012-010, AST-2012-011, BID-54317, BID-54327, CERTA-2012-AVI-371, CVE-2012-3812, CVE-2012-3863, DSA-2550-1, DSA-2550-2, FEDORA-2012-10324, VIGILANCE-VUL-11746.

Description de la vulnérabilité

Deux dénis de service ont été annoncés dans Asterisk.

Un attaquant authentifié peut forcer Asterisk à réenvoyer un message SIP INVITE, puis il peut lui répondre avec des données partielles, et clore la session. Cependant, Asterisk ne libère pas les ressources et le port utilisé. Si un attaquant répète cette opération, il peut progressivement créer un déni de service. [grav:1/4; AST-2012-010, BID-54327, CVE-2012-3863]

Un attaquant peut se connecter deux fois au même compte voicemail, afin de forcer une double libération de mémoire. Cette erreur stoppe Asterisk, et pourrait conduire à l'exécution de code. [grav:2/4; AST-2012-011, BID-54317, CVE-2012-3812]

Un attaquant authentifié peut donc employer deux vulnérabilités d'Asterisk, afin de le stopper.
Bulletin Vigil@nce complet.... (accès gratuit)

Partagez ce bulletin

          

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une gestion de vulnérabilités applicatives. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.