Kurzinfo CB-K17/0867 Update 1

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: Asterisk: Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe
Datum: 11.08.2017
Software: Digium Asterisk < 13.15.1, Digium Asterisk < 14.4.1, Digium Certified Asterisk < 13.13-cert4
Plattform: Debian Linux 8.9 Jessie, GNU/Linux, Oracle Solaris
Auswirkung: Denial-of-Service
Remoteangriff: Ja
Risiko: niedrig
CVE Liste: CVE-2017-9358, CVE-2017-9359, CVE-2017-9372
Bezug: Download All Asterisk Versions
Revisions Historie
  • Version: 2

    Für die Distribution Debian Jessie steht ein Sicherheitsupdate bereit, welches die Schwachstellen CVE-2017-9359 und CVE-2017-9372 adressiert. Zusätzlich informiert Debian darüber, dass die Schwachstellen für die stabile Distribution Stretch bereits vor der Veröffentlichung des initialen Releases behoben wurden.

  • Version: 1

    Neues Advisory

Beschreibung

Asterisk ist eine Software für Telefonanlagen und IP-Telefone der Firma Digium.

Mehrere Schwachstellen in Asterisk ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe. Zwei der Schwachstellen betreffen PJSIP und könnten auch ohne Einspielen des Updates im Kontext dieser Bibliothek behoben werden. Beide Schwachstellen betreffen Asterisk nicht, wenn das Modul 'chan_sip' verwendet wird. Die dritte Schwachstelle betrifft Asterisk nur, wenn das SCCP-Protokoll benötigt wird. Der Hersteller informiert über die Schwachstellen und stellt Asterisk 13.15.1 und 14.4.1 sowie Certified Asterisk 13.13-cert4 als Sicherheitsupdates bereit. Falls das SCCP-Protokoll (Cisco Skinny Client Control Protocol, über 'chan_skinny') nicht benötigt wird, empfiehlt der Hersteller zusätzlich dessen Deaktivierung.

  1. Download All Asterisk Versions

  2. Asterisk 13.5.1 Release Notes

  3. Asterisk 14.4.1 Release Notes

  4. Asterisk Project Security Advisory - AST-2017-002

  5. Asterisk Project Security Advisory - AST-2017-003

  6. Asterisk Project Security Advisory - AST-2017-004

  7. Certified Asterisk 13.13 Release Notes

  8. Schwachstelle CVE-2017-9358 (NVD)

  9. Schwachstelle CVE-2017-9359 (NVD)

  10. Schwachstelle CVE-2017-9372 (NVD)

  11. Debian Security Advisory DSA-3933-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.