Kurzinfo CB-K17/2221 Update 1

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: Digium Asterisk, Digium Certified Asterisk: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff
Datum: 29.12.2017
Software: Digium Asterisk < 13.18.5, Digium Asterisk 13.x, Digium Asterisk < 14.7.5, Digium Asterisk 14.x, Digium Asterisk < 15.1.5, Digium Asterisk 15.x, Digium Certified Asterisk 13.13, Digium Certified Asterisk < 13.18-cert2
Plattform: GNU/Linux, Red Hat Fedora 27
Auswirkung: Denial-of-Service
Remoteangriff: Ja
Risiko: niedrig
CVE Liste: CVE-2017-17850
Bezug: Asterisk Project Security Advisory - AST-2017-014: Crash in PJSIP resource when missing a contact header
Revisions Historie
  • Version: 2

    Für Fedora 27 steht ein Sicherheitsupdate auf die aktuelle Version 14.7.5 im Status 'pending' bereit.

  • Version: 1

    Neues Advisory

Beschreibung

Asterisk ist eine Software für Telefonanlagen und IP-Telefone der Firma Digium.

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Asterisk mit Hilfe speziell präparierter SIP-Nachrichten für einen Denial-of-Service-Angriff ausnutzen. Der Hersteller informiert über die Schwachstelle in allen Versionen von Asterisk Open Source 13.x, 14.x und 15.x sowie Certified Asterisk 13.18 und stellt die Versionen Asterisk Open Source 13.18.5, 14.7.5 und 15.1.5 beziehungsweise Certified Asterisk 13.18-cert2 als Sicherheitsupdates bereit. Die Ausnutzung der Schwachstelle kann erschwert werden, indem Authentifizierungsmechanismen aktiviert werden.

  1. Asterisk Project Security Advisory - AST-2017-014: Crash in PJSIP resource when missing a contact header

  2. ASTERISK-27480 - Security: Authenticated SUBSCRIBE without Contact crashes asterisk

  3. Fedora Security Update FEDORA-2017-41242dfe10 (Fedora 27, asterisk-14.7.5-1.fc27)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.