Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Digium Asterisk < 11.25.2 Digium Asterisk 11.x Digium Asterisk < 13.17.1 Digium Asterisk 13.x Digium Asterisk < 14.6.1 Digium Asterisk 14.x Digium Certified Asterisk 11.6 Digium Certified Asterisk < 11.6-cert17 Digium Certified Asterisk 13.13 Digium Certified Asterisk < 13.13-cert5 Betroffene Plattformen: GNU/Linux Mehrere Schwachstellen in Asterisk ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffs sowie das Ausspähen von Informationen und einem entfernten, einfach authentisierten Angreifer das Ausführen beliebigen Programmcodes. Der Hersteller informiert über die Schwachstellen und stellt Asterisk 11.25.2, 13.17.1 und 14.6.1 sowie Certified Asterisk 11.6-cert17 und 13.13-cert5 als Sicherheitsupdates bereit. Patch: Download All Asterisk Versions http://www.asterisk.org/downloads/asterisk/all-asterisk-versions
CVE-2017-14100: Schwachstelle in Asterisk ermöglicht Ausführen beliebigen
Programmcodes
Eine Schwachstelle in Asterisk Version 11 und neuer basiert auf
unzureichender Maskierung bzw. Filterung von Benutzereingaben in Form
angegebener Nummern oder Namen von Anrufern als Eingabe an das im Modul
‘app_minivm’ konfigurierte Programm, welches durch die Anwendung
‘MinivmNotify’ ausgeführt wird. Die Anwendung wiederum benutzt den
Anrufernamen bzw. -nummer als Teil einer an die Shell des Betriebssystems
übergebenen Zeichenkette, wodurch sich mit speziell präparierten
Anruferinformationen beliebige Shell-Befehle einschleusen lassen. Ein
entfernter, einfach authentisierter Angreifer kann beliebigen Programmcode
ausführen.
CVE-2017-14099: Schwachstelle in Asterisk ermöglicht Ausspähen von
Informationen
Eine Schwachstelle in Asterisk Version 11 und neuer basiert auf einem
fehlerhaften Lernverhalten von erlaubten IP-Adressen unter Verwendung der
Optionen “strictrtp”, “nat” und “rtp_symmetric” in symmetrischen
RTP-Umgebungen. Falls Asterisk mit RTP-Datenverkehr überflutet wird, wird
einer neuen IP-Adresse das Anbieten von Medien und gleichzeitig ausgehender
Verkehr an diese neue IP-Adresse erlaubt, wodurch Medien entführt werden
können. Ein entfernter, nicht authentisierter Angreifer kann Informationen
ausspähen.
CVE-2017-14098: Schwachstelle in Asterisk ermöglicht
Denial-of-Service-Angriff
Eine Schwachstelle in Asterisk in den Versionsserien 13.15.0 und 14.4.0
ermöglicht mit Hilfe einer speziell präparierten URI in ‘From’, ‘To’ oder
‘Contact’-Kopfdaten einen Absturz des Programms hervorzurufen. Ein
entfernter, nicht authentisierter Angreifer kann einen Denial-of-Service
(DoS)-Angriff durchführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1542/
Download All Asterisk Versions:
http://www.asterisk.org/downloads/asterisk/all-asterisk-versions
Asterisk Project Security Advisory – AST-2017-005:
http://downloads.asterisk.org/pub/security/AST-2017-005.html
Asterisk Project Security Advisory – AST-2017-006:
http://downloads.asterisk.org/pub/security/AST-2017-006.html
Asterisk Project Security Advisory – AST-2017-007:
http://downloads.asterisk.org/pub/security/AST-2017-007.html
Schwachstelle CVE-2017-14098 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-14098
Schwachstelle CVE-2017-14099 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-14099
Schwachstelle CVE-2017-14100 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-14100
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
