DFN-CERT-2015-0508 Digium Asterisk, Digium Certified Asterisk: Eine Schwachstelle erlaubt das Darstellen falscher Informationen [Netzwerk]

DFN-CERT-2015-0508 Digium Asterisk, Digium Certified Asterisk: Eine Schwachstelle erlaubt das Darstellen falscher Informationen [Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Digium Asterisk < 1.8.32.3 Digium Asterisk < 11.17.1 Digium Asterisk < 12.8.2 Digium Asterisk < 13.3.2 Digium Certified Asterisk < 1.8.28-cert5 Digium Certified Asterisk < 11.6-cert11 Digium Certified Asterisk < 13.1-cert2 Betroffene Plattformen: Digium Asterisk Ein entfernter, nicht authentisierter Angreifer kann als Man-in-the-Middle die Integrität des Systems beeinträchtigen. Für Digium Asterisk und Digium Certified Asterisk stehen Sicherheitsupdates bereit, durch deren Aktivierung Zertifikate mit Null-Bytes abgelehnt werden. Patch: Asterisk Project Security Advisories http://www.asterisk.org/downloads/security-advisories

Patch:

Asterisk Project Security Advisory AST-2015-003

http://downloads.asterisk.org/pub/security/AST-2015-003.pdf

CVE-2015-3008: Schwachstelle in Asterisk ermöglicht das Darstellen falscher
Informationen

Wenn Asterisk sich bei einem SIP TLS Gerät anmeldet und den Server
überprüft, dann akzeptiert Asterisk im Zertifikat andere Common Names als es
eigentlich erwartet. Wenn das Zertifikat einen Common Name besitzt, der mit
dem von Asterisk erwarteten übereinstimmt, aber von einem Null-Byte gefolgt
wird, ist das Zertifikat für Asterisk gültig. Zum Beispiel erwartet Asterisk
den Common Name ‘www.domain.com’, dann akzeptiert es aber ebenso
‘www.domain.com\x00www.someotherdomain.com’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0508/

Asterisk Project Security Advisories:
http://www.asterisk.org/downloads/security-advisories

Asterisk Project Security Advisory AST-2015-003:
http://downloads.asterisk.org/pub/security/AST-2015-003.pdf

Schwachstelle CVE-2015-3008 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3008

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben