2017-0894: Asterisk: Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2017-05-22 13:35)

Neues Advisory

Version 2 (2017-08-11 12:22)

Für die Distribution Debian Jessie steht ein Sicherheitsupdate bereit, welches die Schwachstellen CVE-2017-9359 und CVE-2017-9372 adressiert. Zusätzlich informiert Debian darüber, dass die Schwachstellen für die stabile Distribution Stretch bereits vor der Veröffentlichung des initialen Releases behoben wurden.

Betroffene Software

Office
Server
Systemsoftware

Betroffene Plattformen

Linux
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in Asterisk ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service-Angriffe. Zwei der Schwachstellen betreffen PJSIP und könnten auch ohne Einspielen des Updates im Kontext dieser Bibliothek behoben werden. Beide Schwachstellen betreffen Asterisk nicht, wenn das Modul 'chan_sip' verwendet wird. Die dritte Schwachstelle betrifft Asterisk nur, wenn das SCCP-Protokoll benötigt wird.

Der Hersteller informiert über die Schwachstellen und stellt Asterisk 13.15.1 und 14.4.1 sowie Certified Asterisk 13.13-cert4 als Sicherheitsupdates bereit. Falls das SCCP-Protokoll (Cisco Skinny Client Control Protocol, über 'chan_skinny') nicht benötigt wird, empfiehlt der Hersteller zusätzlich dessen Deaktivierung.

Schwachstellen:

CVE-2017-9358

Schwachstelle in Asterisk ermöglicht Denial-of-Service-Angriff

CVE-2017-9359

Schwachstelle in Asterisk ermöglicht Denial-of-Service-Angriff

CVE-2017-9372

Schwachstelle in Asterisk ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.