Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer la méthode INVITE, afin de détecter si
un nom d’utilisateur est valide.

Gravité : 1/4

Date création : 18/04/2011

PRODUITS CONCERNÉS

– Asterisk Open Source

DESCRIPTION DE LA VULNÉRABILITÉ

La directive "alwaysauthreject" d’Asterisk indique de retourner le
message d’erreur "401 Unauthorized" pour la majorité des erreurs
d’authentification.

Lorsque "alwaysauthreject" est inactif, tous les messages d’erreur
sont différents, ce qui permet de détecter des utilisateurs.

Lorsque "alwaysauthreject" est actif, la méthode SIP REGISTER est
protégée. Cependant, la méthode INVITE ne l’est pas :
– si le nom d’utilisateur est valide et le mot de passe est
invalide, Asterisk retourne une erreur de timeout
– si le nom d’utilisateur est invalide, Asterisk retourne "407
Proxy Authentication Required"

Un attaquant peut donc employer la méthode INVITE même si
"alwaysauthreject" est actif, afin de détecter si un nom
d’utilisateur est valide.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Asterisk-detection-d-utilisateur-via-INVITE-10572