<div dir="ltr"><span style="font-size:12.8px">The Asterisk Development Team has announced security releases for </span><span style="font-size:12.8px">Asterisk 11, 13, and 14, and for </span><span style="font-size:12.8px">Certified Asterisk 11.6 and 13.13. The available </span><span style="font-size:12.8px">security release versions are </span><span style="font-size:12.8px">11.25.2, 13.17.1, 14.6.1, 11.6-cert17, and 13.13-cert5.</span><div style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">These releases are available for immediate download at</span><br style="font-size:12.8px"><br style="font-size:12.8px"><a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases" rel="noreferrer" target="_blank" style="font-size:12.8px">http://downloads.asterisk.org/<wbr>pub/telephony/asterisk/release<wbr>s</a></div><div style="font-size:12.8px"><a href="http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/" rel="noreferrer" target="_blank" style="font-size:12.8px">http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/</a><br></div><div><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">The release of these versions resolves the following security vulnerabilities:</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">* AST-2017-005 (applied to all released versions): The "strictrtp" option in rtp.conf enables a feature of the </span><span style="font-size:12.8px">RTP stack that learns the source address of media for a </span><span style="font-size:12.8px">session and drops any packets that do not originate from </span><span style="font-size:12.8px">the expected address. This option is enabled by default in </span><span style="font-size:12.8px">Asterisk 11 and above. </span></div><div style="font-size:12.8px"><span style="font-size:12.8px"><br></span><div><span style="font-size:12.8px">The "nat" and "rtp_symmetric" options for chan_sip and </span><span style="font-size:12.8px">chan_pjsip respectively enable symmetric RTP support in the </span><span style="font-size:12.8px">RTP stack. This uses the source address of incoming media </span><span style="font-size:12.8px">as the target address of any sent media. This option is not </span><span style="font-size:12.8px">enabled by default but is commonly enabled to handle </span><span style="font-size:12.8px">devices behind NAT.</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">A change was made to the strict RTP support in the RTP </span><span style="font-size:12.8px">stack to better tolerate late media when a reinvite occurs. </span><span style="font-size:12.8px">When combined with the symmetric RTP support this </span><span style="font-size:12.8px">introduced an avenue where media could be hijacked. Instead</span><span style="font-size:12.8px"> of only learning a new address when expected the new code </span><span style="font-size:12.8px">allowed a new source address to be learned at all times.</span></div><div><br></div><div><span style="font-size:12.8px">If a flood of RTP traffic was received the strict RTP</span><span style="font-size:12.8px">support would allow the new address to provide media and</span><span style="font-size:12.8px"> with symmetric RTP enabled outgoing traffic would be sent </span><span style="font-size:12.8px">to this new address, allowing the media to be hijacked. </span><span style="font-size:12.8px">Provided the attacker continued to send traffic they would </span><span style="font-size:12.8px">continue to receive traffic as well.</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">* AST-2017-006 </span><span style="font-size:12.8px">(applied to all released versions)</span><span style="font-size:12.8px">: The app_minivm module has an “externnotify” program </span><span style="font-size:12.8px">configuration option that is executed by the MinivmNotify</span><span style="font-size:12.8px"> dialplan application. The application uses the caller-id </span><span style="font-size:12.8px">name and number as part of a built string passed to the OS </span><span style="font-size:12.8px">shell for interpretation and execution. Since the caller-id </span><span style="font-size:12.8px">name and number can come from an untrusted source, a </span><span style="font-size:12.8px">crafted caller-id name or number allows an arbitrary shell </span><span style="font-size:12.8px">command injection. </span></div></div><div style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">* AST-2017-007 </span><span style="font-size:12.8px">(applied only to 13.17.1 and 14.6.1)</span><span style="font-size:12.8px">: A carefully crafted URI in a From, To or Contact header </span><span style="font-size:12.8px">could cause Asterisk to crash.</span></div><div style="font-size:12.8px"><span style="font-size:12.8px"><br></span></div><div style="font-size:12.8px"><span style="font-size:12.8px">For a full list of changes in the current releases, please see the ChangeLogs:</span><br style="font-size:12.8px"><br><a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-12.25.2" rel="noreferrer" target="_blank" style="font-size:12.8px">http://downloads.asterisk.org/<wbr>pub/telephony/asterisk/<wbr>releases/ChangeLog-11.25.2</a><br style="font-size:12.8px"><a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-13.17.1" rel="noreferrer" target="_blank" style="font-size:12.8px">http://downloads.asterisk.org/<wbr>pub/telephony/asterisk/<wbr>releases/ChangeLog-13.17.1</a><br style="font-size:12.8px"><a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-14.6.1" rel="noreferrer" target="_blank" style="font-size:12.8px">http://downloads.asterisk.org/<wbr>pub/telephony/asterisk/<wbr>releases/ChangeLog-14.6.1</a></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><a href="http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-11.6-cert17" rel="noreferrer" target="_blank" style="font-size:12.8px">http://downloads.asterisk.org/<wbr>pub/telephony/certified-<wbr>asterisk/releases/ChangeLog-<wbr>11.6-cert17</a><br></div><div style="font-size:12.8px"><a href="http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-13.13-cert5" rel="noreferrer" target="_blank" style="font-size:12.8px">http://downloads.asterisk.org/<wbr>pub/telephony/certified-<wbr>asterisk/releases/ChangeLog-<wbr>13.13-cert5</a><br><br style="font-size:12.8px"><span style="font-size:12.8px">The security advisories are available at:</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px"> * </span><a href="http://downloads.asterisk.org/pub/security/AST-2017-005.pdf" rel="noreferrer" target="_blank" style="font-size:12.8px">http://downloads.asterisk.<wbr>org/pub/security/AST-2017-005.<wbr>pdf</a><br style="font-size:12.8px"><span style="font-size:12.8px"> * </span><a href="http://downloads.asterisk.org/pub/security/AST-2017-006.pdf" rel="noreferrer" target="_blank" style="font-size:12.8px">http://downloads.asterisk.<wbr>org/pub/security/AST-2017-006.<wbr>pdf</a><br style="font-size:12.8px"><span style="font-size:12.8px"> * </span><a href="http://downloads.asterisk.org/pub/security/AST-2017-007.pdf" rel="noreferrer" target="_blank" style="font-size:12.8px">http://downloads.asterisk.<wbr>org/pub/security/AST-2017-007.<wbr>pdf</a><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">Thank you for your continued support of Asterisk!</span></div></div>