<div dir="ltr"><div style="color:rgb(80,0,80);font-size:12.8px">The Asterisk Development Team has announced security releases for Asterisk</div><div style="color:rgb(80,0,80);font-size:12.8px">11, 13, 14, and Certified Asterisk 11.6 and 13.8. The available</div><div style="color:rgb(80,0,80);font-size:12.8px">security releases are released as versions 11.25.1, 13.13.1, 14.2.1,</div><div style="color:rgb(80,0,80);font-size:12.8px">11.6-cert16, and 13.8-cert4.</div><div style="color:rgb(80,0,80);font-size:12.8px"><br></div><div style="color:rgb(80,0,80);font-size:12.8px">These releases are available for immediate download at:</div><div style="color:rgb(80,0,80);font-size:12.8px"><br></div><div style="color:rgb(80,0,80);font-size:12.8px"><a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases" target="_blank">http://downloads.asterisk.org/<wbr>pub/telephony/asterisk/release<wbr>s</a></div><div style="color:rgb(80,0,80);font-size:12.8px"><a href="http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/" target="_blank">http://downloads.asterisk.org/<wbr>pub/telephony/certified-asteri<wbr>sk/releases/</a></div><div style="color:rgb(80,0,80);font-size:12.8px"><br></div><div style="color:rgb(80,0,80);font-size:12.8px">The release of versions 13.13.1 and 14.2.1 resolve the following security</div><div style="color:rgb(80,0,80);font-size:12.8px">vulnerability:</div><div style="color:rgb(80,0,80);font-size:12.8px"><br></div><div style="color:rgb(80,0,80);font-size:12.8px">* AST-2016-008: <span style="font-size:12.8px">Crash on SDP offer or answer from endpoint using </span><span style="font-size:12.8px">Opus</span></div><div style="color:rgb(80,0,80);font-size:12.8px"><br></div><div style="color:rgb(80,0,80);font-size:12.8px">  If an SDP offer or answer is received with the Opus codec and with the format</div><div style="color:rgb(80,0,80);font-size:12.8px">  parameters separated using a space the code responsible for parsing will</div><div style="color:rgb(80,0,80);font-size:12.8px">  recursively call itself until it crashes. This occurs as the code does not</div><div style="color:rgb(80,0,80);font-size:12.8px">  properly handle spaces separating the parameters.</div><div style="color:rgb(80,0,80);font-size:12.8px"><br></div><div style="color:rgb(80,0,80);font-size:12.8px">  This does NOT require the endpoint to have Opus configured in Asterisk. This</div><div style="color:rgb(80,0,80);font-size:12.8px">  also does not require the endpoint to be authenticated. If guest is enabled</div><div style="color:rgb(80,0,80);font-size:12.8px">  for chan_sip or anonymous in chan_pjsip an SDP offer or answer is still</div><div style="color:rgb(80,0,80);font-size:12.8px">  processed and the crash occurs.</div><div style="color:rgb(80,0,80);font-size:12.8px"><br></div><div style="color:rgb(80,0,80);font-size:12.8px">The release of versions 11.25.1, 13.13.1, 14.2.1, 11.6-cert16 and 13.8-cert4</div><div style="color:rgb(80,0,80);font-size:12.8px">resolve the following security vulnerability:</div><div style="color:rgb(80,0,80);font-size:12.8px"><br></div><div style="color:rgb(80,0,80);font-size:12.8px">* AST-2016-009: Remote unauthenticated sessions in chan_sip</div><div style="color:rgb(80,0,80);font-size:12.8px"><br></div><div style="color:rgb(80,0,80);font-size:12.8px">  The chan_sip channel driver has a liberal definition for whitespace when</div><div style="color:rgb(80,0,80);font-size:12.8px">  attempting to strip the content between a SIP header name and a colon</div><div style="color:rgb(80,0,80);font-size:12.8px">  character. Rather than following RFC 3261 and stripping only spaces and</div><div style="color:rgb(80,0,80);font-size:12.8px">  horizontal tabs, Asterisk treats any non-printable ASCII character as if it</div><div style="color:rgb(80,0,80);font-size:12.8px">  were whitespace. This means that headers such as</div><div style="color:rgb(80,0,80);font-size:12.8px"><br></div><div style="color:rgb(80,0,80);font-size:12.8px">                 Contact\x01:</div><div style="color:rgb(80,0,80);font-size:12.8px"><br></div><div style="color:rgb(80,0,80);font-size:12.8px">  will be seen as a valid Contact header.</div><div style="color:rgb(80,0,80);font-size:12.8px"><br></div><div style="color:rgb(80,0,80);font-size:12.8px">  This mostly does not pose a problem until Asterisk is placed in tandem with</div><div style="color:rgb(80,0,80);font-size:12.8px">  an authenticating SIP proxy. In such a case, a crafty combination of valid</div><div style="color:rgb(80,0,80);font-size:12.8px">  and invalid To headers can cause a proxy to allow an INVITE request into</div><div style="color:rgb(80,0,80);font-size:12.8px">  Asterisk without authentication since it believes the request is an in-dialog</div><div style="color:rgb(80,0,80);font-size:12.8px">  request. However, because of the bug described above, the request will look</div><div style="color:rgb(80,0,80);font-size:12.8px">  like an out-of-dialog request to Asterisk. Asterisk will then process the</div><div style="color:rgb(80,0,80);font-size:12.8px">  request as a new call. The result is that Asterisk can process calls from</div><div style="color:rgb(80,0,80);font-size:12.8px">  unvetted sources without any authentication.</div><div style="color:rgb(80,0,80);font-size:12.8px"><br></div><div style="color:rgb(80,0,80);font-size:12.8px">  If you do not use a proxy for authentication, then this issue does not affect</div><div style="color:rgb(80,0,80);font-size:12.8px">  you. If your proxy is dialog-aware (meaning that the proxy keeps track of what</div><div style="color:rgb(80,0,80);font-size:12.8px">  dialogs are currently valid), then this issue does not affect you. If you use</div><div style="color:rgb(80,0,80);font-size:12.8px">  chan_pjsip instead of chan_sip, then this issue does not affect you.</div><div style="color:rgb(80,0,80);font-size:12.8px"><br></div><div style="color:rgb(80,0,80);font-size:12.8px">For a full list of changes in the current releases, please see the ChangeLogs:</div><div style="color:rgb(80,0,80);font-size:12.8px"><br></div><div style="color:rgb(80,0,80);font-size:12.8px"><a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-11.25.1" target="_blank">http://downloads.asterisk.org/<wbr>pub/telephony/asterisk/release<wbr>s/ChangeLog-11.25.1</a></div><div style="color:rgb(80,0,80);font-size:12.8px"><a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-13.13.1" target="_blank">http://downloads.asterisk.org/<wbr>pub/telephony/asterisk/release<wbr>s/ChangeLog-13.13.1</a></div><div style="color:rgb(80,0,80);font-size:12.8px"><a href="http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-14.2.1" target="_blank">http://downloads.asterisk.org/<wbr>pub/telephony/asterisk/release<wbr>s/ChangeLog-14.2.1</a></div><div style="color:rgb(80,0,80);font-size:12.8px"><a href="http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-certified-11.6-cert16" target="_blank">http://downloads.asterisk.org/<wbr>pub/telephony/certified-asteri<wbr>sk/releases/ChangeLog-certifie<wbr>d-11.6-cert16</a></div><div style="color:rgb(80,0,80);font-size:12.8px"><a href="http://downloads.asterisk.org/pub/telephony/certified-asterisk/releases/ChangeLog-certified-13.8-cert4" target="_blank">http://downloads.asterisk.org/<wbr>pub/telephony/certified-asteri<wbr>sk/releases/ChangeLog-certifie<wbr>d-13.8-cert4</a></div><div style="color:rgb(80,0,80);font-size:12.8px"><br></div><div style="color:rgb(80,0,80);font-size:12.8px">The security advisories are available at:</div><div style="color:rgb(80,0,80);font-size:12.8px"><br></div><div style="color:rgb(80,0,80);font-size:12.8px"> * <a href="http://downloads.asterisk.org/pub/security/AST-2016-008.pdf" target="_blank">http://downloads.asterisk.<wbr>org/pub/security/AST-2016-008.<wbr>pdf</a></div><div style="color:rgb(80,0,80);font-size:12.8px"> * <a href="http://downloads.asterisk.org/pub/security/AST-2016-009.pdf" target="_blank">http://downloads.asterisk.<wbr>org/pub/security/AST-2016-009.<wbr>pdf</a></div><div style="color:rgb(80,0,80);font-size:12.8px"><br></div><div style="color:rgb(80,0,80);font-size:12.8px">Thank you for your continued support of Asterisk!</div></div>