<div dir="ltr"><div class="gmail_quote">The Asterisk Development Team has announced security releases for<br>
Certified Asterisk 13.13 and Asterisk 13 and 14. The available<br>
security releases are released as versions 13.13-cert4, 13.15.1, and<br>
14.4.1.<br>
<br>
These releases are available for immediate download at<br>
<br>
<a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases" rel="noreferrer" target="_blank">http://downloads.asterisk.org/pub/telephony/asterisk/releases</a><br>
<br>
The release of these versions resolves the following security vulnerabilities:<br>
<br>
* AST-2017-002: A remote crash can be triggered by sending a SIP<br>
packet to Asterisk with a specially crafted CSeq header and a Via<br>
header with no branch parameter. The issue is that the PJSIP RFC 2543<br>
transaction key generation algorithm does not allocate a large enough<br>
buffer. By overrunning the buffer, the memory allocation table becomes<br>
corrupted, leading to an eventual crash.<br>
<br>
* AST-2017-003: The multi-part body parser in PJSIP contains a logical<br>
error that can make certain multi-part body parts attempt to read<br>
memory from outside the allowed boundaries. A specially-crafted packet<br>
can trigger these invalid reads and potentially induce a crash.<br>
<br>
* AST-2017-004: A remote memory exhaustion can be triggered by sending<br>
an SCCP packet to Asterisk system with “chan_skinny” enabled that is<br>
larger than the length of the SCCP header but smaller than the packet<br>
length specified in the header. The loop that reads the rest of the<br>
packet doesn’t detect that the call to read() returned end-of-file<br>
before the expected number of bytes and continues infinitely. The<br>
“partial data” message logging in that tight loop causes Asterisk to<br>
exhaust all available memory.<br>
<br>
Special note: AST-2017-002 and AST-2017-003 actually apply to the<br>
pjproject library directly and not necessarily Asterisk, so systems<br>
utilizing non-bundled versions of pjproject will need to get the fixes<br>
from an upstream version of the library.<br>
<br>
For a full list of changes in the current releases, please see the ChangeLogs:<br>
<br>
<a href="http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-13.13-cert4" rel="noreferrer" target="_blank">http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-13.13-cert4</a><br>
<a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-13.15.1" rel="noreferrer" target="_blank">http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-13.15.1</a><br>
<a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-14.4.1" rel="noreferrer" target="_blank">http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-14.4.1</a><br>
<br>
The security advisories are available at:<br>
<br>
 * <a href="http://downloads.asterisk.org/pub/security/AST-2017-002.pdf" rel="noreferrer" target="_blank">http://downloads.asterisk.org/pub/security/AST-2017-002.pdf</a><br>
 * <a href="http://downloads.asterisk.org/pub/security/AST-2017-003.pdf" rel="noreferrer" target="_blank">http://downloads.asterisk.org/pub/security/AST-2017-003.pdf</a><br>
 * <a href="http://downloads.asterisk.org/pub/security/AST-2017-004.pdf" rel="noreferrer" target="_blank">http://downloads.asterisk.org/pub/security/AST-2017-004.pdf</a><br>
<br>
Thank you for your continued support of Asterisk!<br>
<br>
--<br>
_____________________________________________________________________<br>
-- Bandwidth and Colocation Provided by <a href="http://www.api-digital.com" rel="noreferrer" target="_blank">http://www.api-digital.com</a> --<br>
<br>
asterisk-dev mailing list<br>
To UNSUBSCRIBE or update options visit:<br>
   <a href="http://lists.digium.com/mailman/listinfo/asterisk-dev" rel="noreferrer" target="_blank">http://lists.digium.com/mailman/listinfo/asterisk-dev</a></div></div>