Update erhältlich

Zwei Sicherheitslücken in Asterisk

In Asterisk wurden zwei Schwachstellen gemeldet, die sich zu DoS-Angriffen ausnutzen lassen.

Das Asterisk Manager Interface behandelt Daten nicht korrekt, die an Clients geschickt werden. Dieser Umstand könnte sich ausnutzen lassen, um die CPU und den Speicher mittels ungültig gesendeten Daten oder vielen in kurzer Zeit geschlossenen Verbindungen voll auszulasten. Ein erfolgreicher Angriff setzt voraus, dass das Manager Interface aktiviert ist. Per Standard ist dieses Modul inaktiv.

Ein Fehler in der Funktion handle_tcptls_connection() in der Datei main/tcptls.c könnte sich ebenfalls ausnutzen lassen, um einen Denial-of-Service-Angriff von außen zu starten. Bestätigt sind die Schwachstellen in den Asterisk-Versionen 1.6.1.x vor 1.6.1.23, 1.6.2.x vor 1.6.2.17.1 und 1.8.x vor 1.8.3.1. Der Hersteller rät zu einem Update auf die aktuellen Versionen. Weitere Informationen finden Sie in den beiden Sicherheits-Anweisungen der Entwickler (1, 2).