UPDATE: DFN-CERT-2017-0894 Asterisk: Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe [Linux][Debian][Unix][Solaris]

UPDATE: DFN-CERT-2017-0894 Asterisk: Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe [Linux][Debian][Unix][Solaris]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (11.08.2017):
Für die Distribution Debian Jessie steht ein Sicherheitsupdate bereit,
welches die Schwachstellen CVE-2017-9359 und CVE-2017-9372 adressiert.
Zusätzlich informiert Debian darüber, dass die Schwachstellen für die
stabile Distribution Stretch bereits vor der Veröffentlichung des
initialen Releases behoben wurden.
Version 1 (22.05.2017):
Neues Advisory

Betroffene Software:

Digium Asterisk < 13.15.1 Digium Asterisk < 14.4.1 Digium Certified Asterisk < 13.13-cert4 Betroffene Plattformen: Debian Linux 8.9 Jessie GNU/Linux Oracle Solaris Mehrere Schwachstellen in Asterisk ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service-Angriffe. Zwei der Schwachstellen betreffen PJSIP und könnten auch ohne Einspielen des Updates im Kontext dieser Bibliothek behoben werden. Beide Schwachstellen betreffen Asterisk nicht, wenn das Modul 'chan_sip' verwendet wird. Die dritte Schwachstelle betrifft Asterisk nur, wenn das SCCP-Protokoll benötigt wird. Der Hersteller informiert über die Schwachstellen und stellt Asterisk 13.15.1 und 14.4.1 sowie Certified Asterisk 13.13-cert4 als Sicherheitsupdates bereit. Falls das SCCP-Protokoll (Cisco Skinny Client Control Protocol, über 'chan_skinny') nicht benötigt wird, empfiehlt der Hersteller zusätzlich dessen Deaktivierung. Patch: Download All Asterisk Versions http://www.asterisk.org/downloads/asterisk/all-asterisk-versions

Patch:

Debian Security Advisory DSA-3933-1

https://www.debian.org/security/2017/dsa-3933

CVE-2017-9372: Schwachstelle in Asterisk ermöglicht
Denial-of-Service-Angriff

Der Algorithmus zur Generierung eines PJSIP RFC 2543 Transaktionsschlüssels
alloziert nicht genügend Pufferspeicher. Ein entfernter, nicht
authentisierter Angreifer kann dies ausnutzen, indem er ein SIP-Paket mit
einem speziell präparierten CSeq-Header und einem Via-Header ohne
Branch-Parameter an Asterisk sendet. Durch den resultierenden Pufferüberlauf
wird die Speichertabelle korrumpiert, was zu einem Absturz der Software
führen kann (Denial-of-Service, DoS).

CVE-2017-9359: Schwachstelle in Asterisk ermöglicht
Denial-of-Service-Angriff

Durch einen Logikfehler im Multi-Part-Parser von PJSIP kann es zum Zugriff
auf Speicher außerhalb des zugewiesenen Speicherbereichs kommen. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, indem er ein speziell präpariertes Datenpaket an Asterisk sendet.
Die folgenden ungültigen Lesezugriffe können zu einem Absturz der Software
führen (Denial-of-Service, DoS).

CVE-2017-9358: Schwachstelle in Asterisk ermöglicht
Denial-of-Service-Angriff

Das Modul ‘chan_skinny’ in Asterisk deckt das ‘skinny’-Protokoll ab, welches
zur Verbindung zu Telefonen beispielsweise der Produktlinie Cisco Unified IP
Phone 7900 verwendet wird. Bei Verarbeitung eines speziell präparierten
SCCP-Datenpaketes durch Asterisk mit aktiviertem Modul ‘chan_skinny’, kann
es zu einer Endlosschleife kommen. Das Paket muss dazu größer als der
SCCP-Header und kleiner als die im Header spezifizierte Paketlänge sein. Die
zur Verarbeitung verwendete Schleife erkennt in diesem Fall das Dateiende
nicht, das eine Abbruchbedingung für die Schleife wäre. Ein entfernter,
nicht authentisierter Angreifer kann dadurch den zur Verfügung stehenden
Speicher erschöpfen und einen Denial-of-Service (DoS)-Zustand erzeugen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0894/

Download All Asterisk Versions:
http://www.asterisk.org/downloads/asterisk/all-asterisk-versions

Asterisk 13.5.1 Release Notes:
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-13-current

Asterisk 14.4.1 Release Notes:
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-14-current

Asterisk Project Security Advisory – AST-2017-002:
http://downloads.asterisk.org/pub/security/AST-2017-002.txt

Asterisk Project Security Advisory – AST-2017-003:
http://downloads.asterisk.org/pub/security/AST-2017-003.txt

Asterisk Project Security Advisory – AST-2017-004:
http://downloads.asterisk.org/pub/security/AST-2017-004.txt

Certified Asterisk 13.13 Release Notes:
http://downloads.asterisk.org/pub/telephony/certified-asterisk/ChangeLog-certified-13.13-current

Schwachstelle CVE-2017-9358 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9358

Schwachstelle CVE-2017-9359 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9359

Schwachstelle CVE-2017-9372 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9372

Debian Security Advisory DSA-3933-1:
https://www.debian.org/security/2017/dsa-3933

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben