<html><head></head><body>The Asterisk Development Team would like to announce security releases for<br>Asterisk 13, 16 and 17, and Certified Asterisk 13.21. The available releases are<br>released as versions 13.29.2, 16.6.2, 17.0.1 and 13.21-cert5.<br><br>These releases are available for immediate download at<br><br><a href='https://downloads.asterisk.org/pub/telephony/asterisk/releases'>https://downloads.asterisk.org/pub/telephony/asterisk/releases</a><br><a href='https://downloads.asterisk.org/pub/telephony/certified-asterisk/releases'>https://downloads.asterisk.org/pub/telephony/certified-asterisk/releases</a><br><br>The following security vulnerabilities were resolved in these versions:<br><br><ul><li> AST-2019-006: SIP request can change address of a SIP peer.<br>A SIP request can be sent to Asterisk that can change a SIP peer’s IP<br>address. A REGISTER does not need to occur, and calls can be hijacked as a<br>result. The only thing that needs to be known is the peer’s name;<br>authentication details such as passwords do not need to be known. This<br>vulnerability is only exploitable when the “nat” option is set to the<br>default, or “auto_force_rport”.<br></li><br><li> AST-2019-007: AMI user could execute system commands.<br>A remote authenticated Asterisk Manager Interface (AMI) user without<br>“system” authorization could use a specially crafted “Originate” AMI<br>request to execute arbitrary system commands.<br></li><br><li> AST-2019-008: Re-invite with T.38 and malformed SDP causes crash.<br>If Asterisk receives a re-invite initiating T.38 faxing and has a port of 0<br>and no c line in the SDP, a crash will occur.<br></li></ul><br>For a full list of changes in the current releases, please see the ChangeLogs:<br><br><a href='https://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-13.29.2'>ChangeLog-13.29.2</a><br><a href='https://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-16.6.2'>ChangeLog-16.6.2</a><br><a href='https://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-17.0.1'>ChangeLog-17.0.1</a><br><a href='https://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-certified-13.21-cert5'>ChangeLog-certified-13.21-cert5</a><br><br>The security advisories are available at:<br><br><a href='https://downloads.asterisk.org/pub/security/AST-2019-006.pdf'>AST-2019-006.pdf</a><br><a href='https://downloads.asterisk.org/pub/security/AST-2019-007.pdf'>AST-2019-007.pdf</a><br><a href='https://downloads.asterisk.org/pub/security/AST-2019-008.pdf'>AST-2019-008.pdf</a><br><br>Thank you for your continued support of Asterisk!</body></html>