Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Digium Asterisk < 11.21.1 Digium Asterisk < 13.7.1 Digium Certified Asterisk < 11.6-cert12 Digium Certified Asterisk < 13.1-cert3 Betroffene Plattformen: Digium Asterisk Red Hat Fedora 22 Red Hat Fedora 23 Mehrere Schwachstellen in Asterisk ermöglichen auch einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen und Denial-of-Service-Angriffe. Das Asterisk Development Team stellt für Certified Asterisk 11.6 und 13.1 sowie Asterisk 11 und 13 die Programmversionen 11.6-cert12, 11.21.1, 13.1-cert3 und 13.7.1 als Sicherheitsupdates bereit. Für die Distributionen Fedora 22 und 23 stehen mit den Paketen asterisk-13.7.1-1.fc22 und asterisk-13.7.1-1.fc23 Sicherheitsupdates im Status 'pending' zur Verfügung. Patch: Asterisk Security Advisory AST-2016-003 http://downloads.asterisk.org/pub/security/AST-2016-003.html
Patch:
Asterisk Security Release 11.6-cert12, 11.21.1, 13.1-cert3, 13.7.1
http://www.asterisk.org/downloads/news
Patch:
Fedora Security Update FEDORA-2016-153eed2bb8
https://bodhi.fedoraproject.org/updates/FEDORA-2016-153eed2bb8
Patch:
Fedora Security Update FEDORA-2016-3cc13611f4
https://bodhi.fedoraproject.org/updates/FEDORA-2016-3cc13611f4
AST-2016-003: Schwachstelle in Asterisk ermöglicht Denial-of-Service-Angriff
Beim Verlust von UDPTL-Paketen verwendet Asterisk zur Fehlerbehebung die
Redundanzpakete (redundancy packets). Falls eines dieser Pakete eine Länge
von Null hat, verwendet Asterisk uninitialisierte Puffer-Zeiger und
Längenangaben. Dies führt zu einem Zugriff auf nicht zugewiesenen Speicher,
sobald das betreffende Paket kopiert wird. Ein entfernter, einfach
authentifizierter Angreifer kann dadurch einen Denial-of-Service-Angriff
ausführen
AST-2016-002: Schwachstelle in Asterisk ermöglicht Denial-of-Service-Angriff
Für die Paketumlaufzeit T1 wird im Session Initiation Protocol (Request for
Comments (RFC) 3261) ein Wert von 500 ms vorgeschlagen, Hersteller mobiler
Endgeräte empfehlen Werte bis 3000 ms. Falls in der Datei ‘sip.conf’ der
entsprechende Wert für ‘timer1’ auf einen Wert höher als 1245 gesetzt wird,
kann es zu einem Ganzzahlenüberlauf kommen, der lange
Retransmissions-Timeouts verursacht. Dadurch werden Systemdatei-Deskriptoren
gebunden und nicht wieder freigegeben. Ein entfernter, nicht
authentifizierter Angreifer kann durch einen forcierten Ganzzahlenüberlauf
Systemdatei-Deskriptoren binden und die verfügbaren Dateideskriptoren
erschöpfen und damit einen Denial-of-Service-Angriff ausführen.
AST-2016-001: Schwachstelle in Asterisk ermöglicht Ausspähen von
Informationen
In der Standardkonfiguration des Asterisk HTTP Servers kann eine
Schwachstelle ausgenutzt werden, wenn die TLS-Funktionalität aktiviert ist.
Diese Schwachstelle ist unter dem Namen ‘BEAST’ (Browser Exploit Against
SSL/TLS) bekannt. Ein entfernter, nicht authentifizierter Angreifer kann als
Man-in-the-Middle agieren, verschlüsselten Datenverkehr entschlüsseln und
darüber Informationen ausspähen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0216/
Asterisk Security Advisory AST-2016-003:
http://downloads.asterisk.org/pub/security/AST-2016-003.html
Asterisk Security Release 11.6-cert12, 11.21.1, 13.1-cert3, 13.7.1:
http://www.asterisk.org/downloads/news
Fedora Security Update FEDORA-2016-153eed2bb8:
https://bodhi.fedoraproject.org/updates/FEDORA-2016-153eed2bb8
Fedora Security Update FEDORA-2016-3cc13611f4:
https://bodhi.fedoraproject.org/updates/FEDORA-2016-3cc13611f4
Asterisk Security Advisory AST-2016-001:
http://downloads.asterisk.org/pub/security/AST-2016-001.html
Asterisk Security Advisory AST-2016-002:
http://downloads.asterisk.org/pub/security/AST-2016-002.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
