Bundesamt für Sicherheit in der Informationstechnik

CB-K17/0867 Update 1

Risikostufe 2

Titel:Asterisk: Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-AngriffeDatum:11.08.2017Software:Digium Asterisk < 13.15.1, Digium Asterisk < 14.4.1, Digium Certified Asterisk < 13.13-cert4Plattform:Debian Linux 8.9 Jessie, GNU/Linux, Oracle SolarisAuswirkung:Denial-of-ServiceRemoteangriff:JaRisiko:niedrigCVE Liste:CVE-2017-9358, CVE-2017-9359, CVE-2017-9372Bezug: Download All Asterisk Versions

Beschreibung

Asterisk ist eine Software für Telefonanlagen und IP-Telefone der Firma Digium.

Mehrere Schwachstellen in Asterisk ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe. Zwei der Schwachstellen betreffen PJSIP und könnten auch ohne Einspielen des Updates im Kontext dieser Bibliothek behoben werden. Beide Schwachstellen betreffen Asterisk nicht, wenn das Modul 'chan_sip' verwendet wird. Die dritte Schwachstelle betrifft Asterisk nur, wenn das SCCP-Protokoll benötigt wird. Der Hersteller informiert über die Schwachstellen und stellt Asterisk 13.15.1 und 14.4.1 sowie Certified Asterisk 13.13-cert4 als Sicherheitsupdates bereit. Falls das SCCP-Protokoll (Cisco Skinny Client Control Protocol, über 'chan_skinny') nicht benötigt wird, empfiehlt der Hersteller zusätzlich dessen Deaktivierung.