DFN-CERT-2013-2089 Asterisk: Schwachstellen ermöglichen Privilegieneskalation und Denial-of-Service [Linux][Fedora]

DFN-CERT-2013-2089 Asterisk: Schwachstellen ermöglichen Privilegieneskalation und Denial-of-Service [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Digium Asterisk <= 1.8.24.0 Digium Asterisk <= 10.12.3 Digium Asterisk <= 10.12.3 Digiumphones Digium Asterisk <= 11.6.0 Digium Certified Asterisk <= 1.8.15 Cert3 Digium Certified Asterisk <= 11.2 Cert2 Betroffene Plattformen: Red Hat Fedora 18 Red Hat Fedora 19 Red Hat Fedora 20 Diese Schwachstellen können von einem entfernten, authentifizierten Angreifer ausgenutzt werden, um seine Privilegien zu erweitern. Ein nicht authentifizierter Angreifer kann außerdem durch das Senden von präparierten SMS einen Denial-of-Service-Zustand herbeiführen. Patch: Asterik Herstelleradvisory AST-2013-006 http://downloads.asterisk.org/pub/security/AST-2013-006.pdf

Patch:

Asterik Herstelleradvisory AST-2013-007

http://downloads.asterisk.org/pub/security/AST-2013-007.pdf

Patch:

Fedora Update FEDORA-2013-24142

https://admin.fedoraproject.org/updates/FEDORA-2013-24142/asterisk-11.7.0-1.fc18

Patch:

Fedora Update FEDORA-2013-24119

https://admin.fedoraproject.org/updates/FEDORA-2013-24119/asterisk-11.7.0-1.fc19

Patch:

Fedora Update FEDORA-2013-24108

https://admin.fedoraproject.org/updates/FEDORA-2013-24108/asterisk-11.7.0-1.fc20

CVE-2013-7100: Schwachstelle in Asterisk

Eine Schwachstelle in der Nachrichtendekodierung hat zur Folge, dass 16-Bit
SMS mit bestimmter Länge zu einer niemals endenden Verarbeitung führen. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle durch
das Senden von präparierten SMS ausnutzen, um einen
Denial-of-Service-Zustand zu erreichen.

AST-2013-007: Schwachstelle in Asterisk

Das Asterisk Manager Interface (AMI) kann verwendet werden, um den Asterisk
Server von externen Anwendungen oder Systemen zu steuern. Über das AMI
können auch Dialplan Funktionen ausgeführt werden, die Shell-Kommandos
ausführen oder Dateien manipulieren können. Ein entfernter,
authentifizierter Angreifer kann diese Schwachstelle benutzen, um seine
Privilegien zu erweitern.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-2089/

Schwachstelle CVE-2013-7100 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7100

Asterik Herstelleradvisory AST-2013-006:
http://downloads.asterisk.org/pub/security/AST-2013-006.pdf

Asterik Herstelleradvisory AST-2013-007:
http://downloads.asterisk.org/pub/security/AST-2013-007.pdf

Fedora Update FEDORA-2013-24142:
https://admin.fedoraproject.org/updates/FEDORA-2013-24142/asterisk-11.7.0-1.fc18

Fedora Update FEDORA-2013-24119:
https://admin.fedoraproject.org/updates/FEDORA-2013-24119/asterisk-11.7.0-1.fc19

Fedora Update FEDORA-2013-24108:
https://admin.fedoraproject.org/updates/FEDORA-2013-24108/asterisk-11.7.0-1.fc20

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben