Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Digium Asterisk >= 1.8.0
Digium Asterisk <= 1.8.28.0
Digium Asterisk >= 11.0
Digium Asterisk <= 11.10.0
Digium Asterisk >= 12.0
Digium Asterisk <= 12.3.0
Digium Certified Asterisk >= 1.8.15
Digium Certified Asterisk <= 1.8.15 Cert5
Digium Certified Asterisk >= 11.6
Digium Certified Asterisk <= 11.6 Cert2
Betroffene Plattformen:
Digium Asterisk
Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen
ausnutzen, um Denial-of-Service-Angriffe durchzuführen. Ein entfernter,
authentisierter Benutzer, als Angreifer, kann eine der Schwachstellen
ausnutzen, um beliebige Shell-Befehle auszuführen.
Patch:
Asterisk Security Advisory AST-2014-005
http://downloads.asterisk.org/pub/security/AST-2014-005.html
Patch:
Asterisk Security Advisory AST-2014-006
http://downloads.asterisk.org/pub/security/AST-2014-006.html
Patch:
Asterisk Security Advisory AST-2014-007
http://downloads.asterisk.org/pub/security/AST-2014-007.html
Patch:
Asterisk Security Advisory AST-2014-008
http://downloads.asterisk.org/pub/security/AST-2014-008.html
CVE-2014-4048: Schwachstelle in Asterisk Open Source erlaubt
Denial-of-Service
Eine Schwachstelle besteht im PJSIP-Channel-Treiber in Asterisk Open Source
bevor 12.3.1. Diese Schwachstelle erlaubt einem entfernten, nicht
authentisierten Angreifer, indem er eine Registrierungsanfrage
(“subscription request”) abbricht, bevor diese vollständig ist, einen
Denial-of-Service-Zustand (“deadlock”) herbeizuführen.
CVE-2014-4047: Schwachstelle in Asterisk Open Source erlaubt
Denial-of-Service
Eine Schwachstelle besteht in Asterisk Open Source 1.8.x bevor 1.8.28.1,
11.x bevor 11.10.1 und 12.x bevor 12.3.1 sowie Certified Asterisk 1.8.15
bevor 1.8.15-cert6 und 11.6 bevor 11.6-cert3. Die Schwachstelle erlaubt
einem entfernten, nicht authentisierten Angreifer, mittels einer großen
Anzahl von (1) inaktiven oder (2) nicht kompletten HTTP-Verbindungen, einen
Denial-of-Service-Zustand (“connection consumption”) herbeizuführen.
CVE-2014-4046: Schwachstelle in Asterisk Open Source erlaubt Ausführen von
Shell-Kommandos
Eine Schwachstelle besteht in Asterisk Open Source 11.x bevor 11.10.1 und
12.x bevor 12.3.1 sowie Certified Asterisk 11.6 bevor 11.6-cert3. Diese
Schwachstelle erlaubt einem entfernten, authentisierten Benutzer des
Managers, als Angreifer, über eine MixMonitor-Aktion, beliebige
Shell-Kommandos auszuführen.
CVE-2014-4045: Schwachstelle in Asterisk Open Source erlaubt
Denial-of-Service
Eine Schwachstelle besteht im “Publish/Subscribe”-Framework in dem
PJSIP-Channel-Treiber in Asterisk Open Source 12.x bevor 12.3.1, wenn
“sub_min_expiry” auf “0” gesetzt ist. Die Schwachstelle kann von einem
entfernten, nicht authentisierten Angreifer ausgenutzt werden, mittels einer
Deregistrierungsanfrage (“unsubcribe request”), wenn nicht auf dem
betroffenen Gerät registriert, um einen Denial-of-Service-Zustand
(“assertion failure” und Absturz) herbeizuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0791/
Asterisk Security Advisory AST-2014-005:
http://downloads.asterisk.org/pub/security/AST-2014-005.html
Asterisk Security Advisory AST-2014-006:
http://downloads.asterisk.org/pub/security/AST-2014-006.html
Asterisk Security Advisory AST-2014-007:
http://downloads.asterisk.org/pub/security/AST-2014-007.html
Asterisk Security Advisory AST-2014-008:
http://downloads.asterisk.org/pub/security/AST-2014-008.html
Schwachstelle CVE-2014-4045 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4045
Schwachstelle CVE-2014-4046 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4046
Schwachstelle CVE-2014-4047 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4047
Schwachstelle CVE-2014-4048 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4048
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
