Bundesamt für Sicherheit in der Informationstechnik

CB-K17/0867 Update 1

Risikostufe 2

Titel:Asterisk: Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-AngriffeDatum:11.08.2017Software:Digium Asterisk < 13.15.1, Digium Asterisk < 14.4.1, Digium Certified Asterisk < 13.13-cert4Plattform:Debian Linux 8.9 Jessie, GNU/Linux, Oracle SolarisAuswirkung:Denial-of-ServiceRemoteangriff:JaRisiko:niedrigCVE Liste:CVE-2017-9358, CVE-2017-9359, CVE-2017-9372Bezug: Download All Asterisk Versions

Beschreibung

Asterisk ist eine Software für Telefonanlagen und IP-Telefone der Firma Digium.

Mehrere Schwachstellen in Asterisk ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe. Zwei der Schwachstellen betreffen PJSIP und könnten auch ohne Einspielen des Updates im Kontext dieser Bibliothek behoben werden. Beide Schwachstellen betreffen Asterisk nicht, wenn das Modul 'chan_sip' verwendet wird. Die dritte Schwachstelle betrifft Asterisk nur, wenn das SCCP-Protokoll benötigt wird. Der Hersteller informiert über die Schwachstellen und stellt Asterisk 13.15.1 und 14.4.1 sowie Certified Asterisk 13.13-cert4 als Sicherheitsupdates bereit. Falls das SCCP-Protokoll (Cisco Skinny Client Control Protocol, über 'chan_skinny') nicht benötigt wird, empfiehlt der Hersteller zusätzlich dessen Deaktivierung.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK