<div dir="ltr"><font face="monospace, monospace">The Asterisk Development Team has announced security releases for<br>Certified Asterisk 13.13 and Asterisk 13, 14 and 15.  The available<br>security releases are released as versions 13.13-cert7, 13.18.1,<br>14.7.1 and 15.1.1.<br><br>These releases are available for immediate download at<br><a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases">http://downloads.asterisk.org/pub/telephony/asterisk/releases</a><br><br>The release of these versions resolves the following security<br>vulnerabilities:<br><br>* AST-2017-009: Buffer overflow in pjproject header parsing can<br>                cause a crash in Asterisk<br>  By carefully crafting invalid values in the Cseq and the Via<br>  header port, pjproject's packet parsing code can create strings<br>  larger than the buffer allocated to hold them. This will usually<br>  cause Asterisk to crash immediately. The packets do not have to<br>  be authenticated.<br><br>* AST-2017-010: Buffer overflow in CDR's set user<br>  No size checking is done when setting the user field for Party B<br>  on a CDR. Thus, it is possible for someone to use an arbitrarily<br>  large string and write past the end of the user field storage<br>  buffer. The earlier AST-2017-001 advisory for the CDR user field<br>  overflow was for the Party A buffer.<br><br>* AST-2017-011: Memory leak in pjsip session resource<br>  A memory leak occurs when an Asterisk pjsip session object is<br>  created and that call gets rejected before the session itself is<br>  fully established. When this happens the session object never<br>  gets destroyed.<br><br><br>For a full list of changes in the current releases, please see the<br>ChangeLogs:<br><a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-13.18.1">http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-13.18.1</a><br><a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog=14.7.1">http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog=14.7.1</a><br><a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-15.1.1">http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-15.1.1</a><br><a href="http://downloads.asterisk.org/pub/telephony/certified-asterisk/ChangeLog-certified-13.13-cert7">http://downloads.asterisk.org/pub/telephony/certified-asterisk/ChangeLog-certified-13.13-cert7</a><br><br>The security advisories are available at:<br><a href="http://downloads.asterisk.org/pub/security/AST-2017-009.pdf">http://downloads.asterisk.org/pub/security/AST-2017-009.pdf</a><br><a href="http://downloads.asterisk.org/pub/security/AST-2017-010.pdf">http://downloads.asterisk.org/pub/security/AST-2017-010.pdf</a><br><a href="http://downloads.asterisk.org/pub/security/AST-2017-011.pdf">http://downloads.asterisk.org/pub/security/AST-2017-011.pdf</a><br><br>Thank you for your continued support of Asterisk!</font></div>