Asterisk lukker tre sikkerhedshuller

Den kritiske sårbarhed i Asterisk giver angribere mulighed for at overtage sessioner. Sårbarheden ligger i behandlingen af RTP (Realtime Transport Protocol).

Fejlen er rettet i Asterisk Open Source 11.25.2, 13.17.1 og 14.6.1, og i Certified Asterisk 11.6-cert17 og 13.13-cert5.

Endvidere er der fundet to mindre alvorlige sårbarheder. Den ene giver autoriserede brugere mulighed for at afvikle kommandoer, den anden kan sætte Asterisk-systemet ud af drift.

Anbefaling

Opdater til en rettet version.

Links

• AST-2017-005: Media takeover in RTP stack
• AST-2017-006: Shell access command injection in app_minivm
• AST-2017-007: Remote Crash Vulerability in res_pjsip
• Asterisk bugs make a right mess of RTP, artikel fra The Register