В Asterisk 13.17.1 и 14.6.1 устранены три уязвимости, одна из которых признана критической (CVE-2017-14099) и позволяет захватить поток информации. Уязвимость присутствует в стеке RTP (Realtime Transport Protocol) и затрагивает системы, в которых в rtp.conf установлена опция «strictrtp» (включена по умолчанию) и активны настройки обхода NAT («nat» и «rtp_symmetric» для chan_sip и
chan_pjsip). Через отправку большого числа RTP-пакетов атакущий может организовать перенаправление исходящего медиапотока на свой IP.

Вторая уязвимость (CVE-2017-14100) присутствует в модуле голосовой почты app_minivm и позволяет организовать подстановку shell-кода через передачу специально оформленного имени caller ID или номера телефона. Третья уязвимость (CVE-2017-14098) затрагивает модуль res_pjisp и может привести к удалённому краху процесса Asterisk при обработке некорректного URI в полях From, To или Contact.