Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Paket asterisk
Betroffene Plattformen:
Fedora 16
Fedora 17
Fedora 18
Zwei Schwachstellen in Asterisk ermöglichen einem entfernten Angreifer einen
Denial-of-Service-Angriff durchzuführen.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
http://dl.fedoraproject.org/pub/fedora/linux/updates/
CVE-2012-5976: Schwachstelle in Asterisk
In Asterisk Open Source in Version 1.8.x vor 1.8.19.1, 10.x vor 10.11.1 und
11.x vor 11.1.2 sind mehrere “Stack Consumption”-Schwachstellen enthalten.
Einem entfernten Angreifer ist es mittels TCP möglich, durch SIP-, HTTP-
oder XMPP-Pakete einen Denial-of-Service-Angriff durchzuführen.
CVE-2012-5977: Schwachstelle in Asterisk
In Asterisk Open Source in Version 1.8.x vor 1.8.19.1, 10.x vor 10.11.1 und
11.x vor 11.1.2 ist es möglich, mittels anonymer Anrufe die gesamten
Ressourcen aufzubrauchen. Einem entfernten Angreifer ist es mittels anonymer
Anrufe von mehreren Quellen dadurch möglich, einen Denial-of-Service-Angriff
durchzuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0188/
Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2013-January/097762.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-January/097815.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-January/097760.html
Schwachstelle CVE-2012-5976:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5976
Schwachstelle CVE-2012-5977:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5977
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
