Bundesamt für Sicherheit in der Informationstechnik

CB-K18/0001

Risikostufe 3

Titel:Asterisk: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen ProgrammcodesDatum:02.01.2018Software:Digium AsteriskPlattform:Debian Linux 8.10 Jessie, Debian Linux 9.3 StretchAuswirkung:Ausführen beliebigen ProgrammcodesRemoteangriff:JaRisiko:mittelCVE Liste:CVE-2017-16671, CVE-2017-16672, CVE-2017-17090, CVE-2017-17664Bezug: Debian Security Advisory DSA-4076-1

Beschreibung

Asterisk ist eine Software für Telefonanlagen und IP-Telefone der Firma Digium.

Mehrere Schwachstellen in Asterisk ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung von Denial-of-Service (DoS)-Angriffen. Eine weitere Schwachstelle ermöglicht dem Angreifer nach der Authentifizierung die Ausführung beliebigen Programmcodes. Debian stellt für die Distributionen Jessie (oldstable) 8.10 und Stretch (stable) 9.3 Backport-Sicherheitsupdates für das Paket 'asterisk' zur Behebung der Schwachstellen bereit.