Kurzinfo CB-K17/2221

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: Digium Asterisk, Digium Certified Asterisk: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff
Datum: 28.12.2017
Software: Digium Asterisk < 13.18.5, Digium Asterisk 13.x, Digium Asterisk < 14.7.5, Digium Asterisk 14.x, Digium Asterisk < 15.1.5, Digium Asterisk 15.x, Digium Certified Asterisk 13.13, Digium Certified Asterisk < 13.18-cert2
Plattform: GNU/Linux
Auswirkung: Denial-of-Service
Remoteangriff: Ja
Risiko: niedrig
CVE Liste: CVE-2017-17850
Bezug: Asterisk Project Security Advisory - AST-2017-014: Crash in PJSIP resource when missing a contact header
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Asterisk ist eine Software für Telefonanlagen und IP-Telefone der Firma Digium.

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Asterisk mit Hilfe speziell präparierter SIP-Nachrichten für einen Denial-of-Service-Angriff ausnutzen. Der Hersteller informiert über die Schwachstelle in allen Versionen von Asterisk Open Source 13.x, 14.x und 15.x sowie Certified Asterisk 13.18 und stellt die Versionen Asterisk Open Source 13.18.5, 14.7.5 und 15.1.5 beziehungsweise Certified Asterisk 13.18-cert2 als Sicherheitsupdates bereit. Die Ausnutzung der Schwachstelle kann erschwert werden, indem Authentifizierungsmechanismen aktiviert werden.

  1. Asterisk Project Security Advisory - AST-2017-014: Crash in PJSIP resource when missing a contact header

  2. ASTERISK-27480 - Security: Authenticated SUBSCRIBE without Contact crashes asterisk

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.