Asterisk

Den kritiske sårbarhed i Asterisk giver angribere mulighed for at overtage sessioner. Sårbarheden ligger i behandlingen af RTP (Realtime Transport Protocol).

Fejlen er rettet i Asterisk Open Source 11.25.2, 13.17.1 og 14.6.1, og i Certified Asterisk 11.6-cert17 og 13.13-cert5.

Endvidere er der fundet to mindre alvorlige sårbarheder. Den ene giver autoriserede brugere mulighed for at afvikle kommandoer, den anden kan sætte Asterisk-systemet ud af drift.

Anbefaling

Opdater til en rettet version.

Asterisk 13, 14 og Certified Asterisk 13.13 er sårbare.

En angriber kan udnytte den ene sårbarhed ved at sende en særligt udformet SCCP-pakke til IP-telefonisystemet.

De to andre sårbarheder ligger i PJSIP. Det er et open source-bibliotek, der implementerer SIP (Session Initiation Protocol). Udviklerne gør opmærksom på, at også andre applikationer, der anvender PJSIP, kan være sårbare.

Fejlene er rettet i version 13.15.1, 14.4.1 og 13.13-cert4.

Anbefaling

Opdater til en rettet version.